La Vengeance informatique d’un ancien employé

29 Jan 2019

Le licenciement d’employés fait partie du monde des affaires, mais il peut être douloureux dans certains cas. En plus d’énerver les directeurs, les anciens employés mécontents qui essaient de régler leurs comptes avec votre entreprise peuvent également provoquer des pertes financières et nuire à votre réputation.

Nous analysons les éventuelles conséquences d’une telle rancœur, et comment vous protéger d’une vengeance informatique.

Un mot de passe à 200 000 dollars

Le cas de l’université en ligne American College of Education illustre bien les ennuis qui peuvent surgir après qu’une personne ait quitté son emploi. Dans ce cas l’équipe de gestion ne s’est pas bien entendue avec l’administrateur système, Triano Williams, qui travaillait à distance.

En 2016, l’employé a déposé une plainte pour discrimination raciale contre l’entreprise. Peu après, il était muté à Indianapolis pour travailler depuis le bureau local. Williams a refusé ; le télétravail était une de ses principales conditions. Par conséquent, il a été renvoyé. Même s’il a reçu une indemnité de départ, l’expert en informatique n’était pas satisfait. Il en a conclu que toute cette histoire de mutation avait été élaborée à cause de sa plainte. Pour se venger de l’école, il a modifié le mot de passe de son compte Google, empêchant ainsi ses anciens collègues d’accéder à leurs e-mails et aux matériels d’étude de plus de 2 000 étudiants.

Williams a soutenu que le mot de passe était automatiquement sauvegardé sur son ordinateur portable professionnel, qu’il a retourné peu de temps après avoir été licencié. Cependant, selon l’université, l’ancien administrateur a effacé tout ce qu’il y avait dans l’appareil avant de le renvoyer.

L’institution a demandé à Google de restaurer l’accès au compte, mais il s’est avéré que le profil était associé au compte personnel de William, et non à celui de l’entreprise. L’avocat de l’ancien employé a laissé entendre que son client pourrait éventuellement se souvenir du mot de passe perdu en échange de 200 000 dollars, et d’une lettre de recommandation positive de la part de l’entreprise.

Une attaque d’exposition

Un autre exemple montre comment un ancien employé peut prendre des mesures plus actives. Richard Neale, cofondateur et ancien directeur informatique de la sécurité de l’information de l’entreprise Esselar, est parti en mauvais termes, et a passé six mois à préparer sa vengeance.

Pour discréditer ses anciens collègues, il a attendu qu’Esselar ait à présenter ses services à un gros client, le groupe d’assurances Aviva. La veille de la présentation, Neale a piraté les téléphones portables de près de 900 employés d’Aviva, et a effacé toutes les informations qu’ils gardaient dans leurs dispositifs.

Après cet incident, Aviva a mis un terme aux relations qu’elle avait avec Esselar, et a demandé une indemnisation de 70 000 livres sterling. Cependant, les anciens associés de Neale ont estimé que les pertes totales en matière de réputation et de risques potentiels s’élevaient à 500 000 livres sterling. Selon l’entreprise, ces actions lui ont causé tellement de tort qu’Esselar aurait pensé à changer de nom.

Effacement rapide de données à un coût très élevé

Les employés qui se doutent qu’ils vont être licenciés sont également dangereux. Mary Lupe Cooley, la sous-directrice d’un cabinet d’architectes, a vu dans le journal une annonce disant que son entreprise cherchait quelqu’un pour son poste, et elle a remarqué que le numéro de son supérieur apparaissait dans les coordonnées de la personne à contacter.

Partant du principe qu’elle allait être renvoyée, Cooley a supprimé les données d’un projet qui représentaient sept ans de travail, et a provoqué des dommages estimés à 2,5 millions de dollars. Quant à l’annonce, il s’agissait d’un poste vacant au sein de l’entreprise de l’épouse de son patron.

Comment éviter d’être victime d’une vengeance informatique

Afin d’éviter que vos anciens employés puissent nuire à votre infrastructure informatique, surveillez attentivement leurs droits et autorisations dès le premier jour. Voici quelques règles que les entreprises voulant assurer leur sécurité devraient suivre :

  • Tenez un registre des droits informatiques de vos employés, mais aussi des comptes et des ressources auxquels ils ont accès. Octroyez plus de droits si vous êtes absolument certain que les employés en ont besoin, et notez immédiatement cette information.
  • Examinez et révisez régulièrement les listes de droits. N’oubliez pas de retirer les autorisations obsolètes.
  • N’associez les ressources de votre entreprise qu’à des adresses professionnelles. Quelques soient les avantages que vous pourriez avoir en créant un compte personnel, ou à quel point un employé semble fiable, n’oubliez jamais qu’il s’agit d’une relation professionnelle qui va s’arrêter un jour ou l’autre. Les noms de domaine, les comptes de réseaux sociaux, et les tableaux de bord qui permettent de contrôler votre site Internet sont, en définitive, des actifs de l’entreprise. Ce serait irréfléchi de laisser votre personnel les gérer.
  • Bloquez dès que possible les droits d’accès et les comptes d’anciens employés ; dans l’idéal, dès que vous leur communiquez leur licenciement.
  • Ne parlez pas ouvertement des possibles réductions d’effectifs et des restructurations, et lorsque vous publiez une annonce pour couvrir un poste en particulier, n’oubliez pas qu’elle peut être vue par plus de personnes que les potentiels candidats.
  • Essayez de maintenir de bonnes relations avec vos employés, et une bonne ambiance de travail. Les cyber-attaques visant un ancien employeur sont souvent motivées par des sentiments meurtris, et non par avidité.