Selon The Register (22 août 2025), un ancien développeur d’Eaton a été condamné aux États-Unis après avoir saboté les systèmes de l’entreprise via un « kill switch » logiciel installé avant son départ.
• Faits principaux 🧑💻🚨 L’accusé, Davis Lu (55 ans), a été rétrogradé lors d’une restructuration puis a installé un mécanisme de sabotage interne qui se déclenchait si ses accès réseau étaient révoqués. Après son licenciement le 9 septembre 2019, le code s’est activé, surchargé les serveurs et perturbé la connexion pour des milliers d’employés à l’échelle mondiale, avec suppression de certaines données.
• Détails techniques 🔧 Le « kill switch » était un programme Java générant un nombre croissant de threads non terminants dans une boucle infinie, entraînant une épuisement des ressources jusqu’au crash des serveurs. Le binaire était nommé « IsDLEnabledinAD » (pour « Is Davis Lu enabled in Active Directory ») et a été téléversé avec les identifiants professionnels de Lu. Le déclenchement survenait lors de la révocation des accès AD/réseau.
• Impact et réactions Le Département de la Justice a indiqué que l’attaque a causé des pertes de plusieurs centaines de milliers de dollars et a souligné la trahison de confiance et les dégâts causés. Le FBI a salué le travail de son équipe cyber et rappelé l’importance de détecter précocement les menaces internes. Eaton n’a pas commenté la condamnation.
• Enquête et condamnation ⚖️ Lors de la restitution de son ordinateur portable d’entreprise, l’historique de recherche a révélé des requêtes sur la suppression de données, l’élévation de privilèges et la disSimulation des processus. Une grande quantité de données chiffrées a également été supprimée. Arrêté moins d’un mois après le sabotage, Lu a reconnu les faits, a néanmoins demandé un procès avec jury, et a été reconnu coupable d’avoir intentionnellement endommagé un ordinateur protégé. Peine: 4 ans de prison et 3 ans de liberté surveillée.
• IOCs et TTPs
- IOCs:
- Nom du malware/binaire: “IsDLEnabledinAD”
- TTPs:
- Kill switch déclenché à la révocation d’accès (AD/réseau)
- Exhaustion de ressources via threads Java non terminants en boucle infinie
- Téléversement avec identifiants corporatifs
- Suppression de données et recherches sur escalade de privilèges et masquage de processus
Type: opération de police (condamnation judiciaire) — compte rendu des faits et de la sanction.
🔗 Source originale : https://www.theregister.com/2025/08/22/worlds_dumbest_it_admin_gets/