Imaginez une entreprise florissante, leader dans la fabrication de routeurs, de switchs et de webcams. Une entreprise qui, de l’extérieur, semble tout contrôler. Mais sous la surface, un employé mécontent prépare un coup d’éclat qui allait, pensait-il, lui rapporter gros. Cette histoire commence en 2021 chez Ubiquity, une entreprise américaine cotée en bourse, et elle est pour le moins rocambolesque.
Le début de la frustration
Nicolas Sharp, 35 ans, est un développeur talentueux. Il a gravi les échelons en changeant d’entreprise à plusieurs reprises. À ce stade de sa carrière, il est Cloud Lead chez Ubiquity, gagnant 250 000 dollars par an. Il a une femme, des enfants, et une maison coquette dans l’Oregon. Sur le papier, il a tout pour être heureux. Mais Sharp est frustré. Depuis deux ans, il alerte sa hiérarchie sur des problèmes de sécurité au sein de l’entreprise, sans succès. Il passe de longues heures au téléphone à essayer de convaincre son PDG, mais il n’est jamais écouté. La frustration grandit.
Sharp décide de chercher ailleurs. Il envoie des candidatures, passe des entretiens, et le 9 décembre, il apprend qu’il a décroché un poste dans une entreprise de la Silicon Valley. Une nouvelle aventure s’ouvre à lui. Pourtant, le lendemain, il prend une décision qui va changer sa vie et celle de Ubiquity : il va voler les données de l’entreprise.
Une intrusion planifiée
En tant que Cloud Lead, Sharp possède des accès administrateurs très étendus. Il sait où sont les clés de toutes les portes et comment accéder aux trésors d’Ubiquity. Le premier objectif de Sharp est simple : récupérer les données stockées sur le cloud. Il n’a pas d’accès direct à ces dossiers protégés par mot de passe, mais avec son compte administrateur, il peut obtenir une clé qui lui donne accès à tous les mots de passe nécessaires.
Pour masquer ses traces, Sharp utilise un VPN. En passant par un tunnel chiffré, il masque son adresse IP. Il se connecte aux serveurs AWS d’Ubiquity et commence à voler 1400 dossiers, y compris des spécifications produits et des schémas électriques. Il télécharge des années de travail en quelques heures. Mais il lui manque encore un élément crucial : le code source.
Le lendemain, Sharp se connecte à GitHub et télécharge l’ensemble du code source de l’entreprise. Toujours en utilisant un VPN, il récupère 155 dépôts de code. Pour brouiller les pistes, il utilise des comptes partagés avec d’autres développeurs et modifie les journaux de log pour réduire la période de rétention des logs de 30 jours à 24 heures. Il modifie également les sessions d’utilisation pour détourner les soupçons sur ses collègues.
La rançon et la fuite
Sharp a volé tout ce qu’il pouvait. Il réfléchit maintenant à comment monétiser ces informations. Il se tourne vers le programme Hacker One d’Ubiquity, qui récompense les hackers trouvant des failles dans leur système. Il demande à son propre directeur de la cybersécurité si un employé pourrait recevoir une prime pour révéler des mots de passe volés. Le directeur, suspicieux, garde une copie du message.
Le 28 décembre 2020, l’alerte est donnée. Ubiquity constate une exfiltration massive de données. Ils pensent d’abord à une cyberattaque externe. L’équipe cybersécurité, le top management, et des consultants externes sont mobilisés pour répondre à cette crise. Ironiquement, Sharp est invité à se joindre à la cellule de crise. Il se retrouve infiltré dans l’équipe chargée de le neutraliser.
Voyant que ses actions n’ont pas encore été découvertes, Sharp décide de passer à l’étape suivante : demander une rançon. Le 9 janvier 2021, il envoie un message anonyme aux cadres dirigeants. Il demande 50 bitcoins en échange de la suppression des données volées et de la révélation des failles de sécurité. Ubiquity refuse de payer, et Sharp met sa menace à exécution en publiant un échantillon de données sur Keybase.
L’entrée en jeu du FBI
Avec la situation qui dégénère, Ubiquity fait appel au FBI. Les agents de la division cybercriminelle commencent leur enquête. Ils découvrent rapidement que l’attaquant a utilisé un VPN de la société Surf Shark. En examinant les journaux AWS, ils trouvent des connexions suspectes. L’adresse IP utilisée pour obtenir la clé partagée appartient à Nicolas Sharp.
Les preuves s’accumulent. Les journaux GitHub montrent que l’attaquant a commencé le téléchargement avec un VPN, mais à un moment clé, la connexion a été faite avec l’adresse IP personnelle de Sharp. La raison ? Une déconnexion temporaire d’Internet qui a désactivé le VPN.
Avec ces preuves, le FBI arrête Sharp. Mais même face à ces accusations, il continue de nier. Il prétend qu’il est victime d’un complot. Sa défense est de plus en plus difficile à croire.
Le sabotage ultime
Sharp, voyant qu’il ne s’en sortira pas, décide de jouer une dernière carte. Il contacte Brian Krebs, un journaliste spécialisé dans les cyberattaques, en se faisant passer pour un lanceur d’alerte. Il lui raconte que l’attaque contre Ubiquity est bien plus grave que ce qui a été communiqué. Il prétend que les pirates ont dérobé des clés permettant d’accéder à des millions de routeurs et webcams des clients.
Krebs, pensant tenir un scoop, publie l’article. La réputation d’Ubiquity en prend un coup sévère. En une journée, la valorisation de l’entreprise chute de 23 milliards à 19 milliards de dollars. Les actionnaires perdent une somme colossale. Sharp a réussi à causer des dégâts considérables.
Le procès et la condamnation
Un an plus tard, Sharp se retrouve devant un juge. Il continue de nier, prétendant qu’il est innocent et qu’il a été piégé. Mais les preuves sont irréfutables. À la veille de son procès, il finit par plaider coupable. Il rédige une lettre au juge, expliquant que son intention était de protéger l’entreprise en révélant ses failles de sécurité. Il demande pardon à sa famille et à ses amis.
Nicolas Sharp est condamné pour fraude et extorsion. Il sera certainement considéré comme l’un des pirates les plus incompétents de l’histoire. Son histoire montre à quel point la frustration et la vengeance peuvent mener à des actions irrationnelles et destructrices.
Conclusion
L’histoire de Nicolas Sharp est une leçon pour toutes les entreprises et leurs employés. La sécurité informatique est cruciale, et les frustrations internes peuvent avoir des conséquences désastreuses si elles ne sont pas gérées correctement. Ubiquity a survécu à cette crise, mais elle restera marquée par cet épisode. Sharp, lui, a perdu sa carrière, sa réputation, et sa liberté. Une fin tragique pour une histoire qui, si elle n’était pas réelle, pourrait être un scénario de film.
Cette affaire rappelle également l’importance de la vigilance et de la sécurité dans nos environnements numériques. Les accès administrateurs doivent être protégés, et les employés mécontents surveillés de près. La fraude interne est une menace réelle, et les entreprises doivent être prêtes à y faire face.
Finalement, cette histoire est un avertissement. Elle montre que même les plans les plus élaborés peuvent échouer spectaculairement si les motivations sont malveillantes et les actions mal exécutées. Nicolas Sharp a tenté de prendre son entreprise en otage, mais il a fini par se piéger lui-même. Une leçon amère pour un homme qui avait pourtant tout pour réussir.