En bref: Un ingénieur qui travaillait pour le fournisseur de produits de réseau sans fil Ubiquiti a été condamné à six ans de prison pour avoir volé des gigaoctets de données confidentielles à l’entreprise et exigé 1,9 million de dollars pour sa restitution. Nickolas Sharp a affirmé que son plan était un « exercice de sécurité non autorisé » pour améliorer la sécurité du réseau, mais le juge n’a pas accepté cette excuse.
Bloomberg écrit que Sharp, 37 ans, a plaidé coupable à des accusations d’endommagement intentionnel d’un ordinateur protégé, de fraude électronique et de fausses déclarations aux forces de l’ordre. Les procureurs affirment qu’il a extorqué de l’argent à Ubiquiti alors qu’il travaillait prétendument pour réparer la faille de sécurité qu’il avait créée.
Sharp a demandé à la juge de district américaine Katherine Polk Failla de ne pas être condamnée à une peine de prison car la cyberattaque était en fait un « exercice de sécurité non autorisé » qui a laissé Ubiquiti « un endroit plus sûr pour lui-même et pour ses clients ». Sharp a également affirmé que le PDG d’Ubiquiti, Robert Pera, l’avait empêché de « résoudre les problèmes de sécurité en suspens », ce qui a conduit l’ingénieur à développer une « hyperfixation idiote » sur la correction des failles de sécurité « hors de contrôle » et « non rationnelles ».
Failla n’a pas accepté l’excuse de Sharp. « Ce n’était pas à M. Sharp de jouer à Dieu dans ces circonstances », a déclaré le juge, ajoutant qu’il avait eu de nombreuses occasions de « se retirer du précipice ».
Sharp a utilisé son accès administratif aux systèmes d’Ubiquiti pour voler les informations secrètes pendant son séjour dans l’entreprise entre août 2018 et avril 2021. Il a utilisé ses informations d’identification d’administrateur cloud pour cloner des centaines de référentiels via SSH et voler des fichiers privés de l’infrastructure AWS d’Ubiquiti et des référentiels GitHub. .
Les procureurs ont déclaré qu’il avait été découvert en train de copier environ 155 référentiels de données lorsqu’une panne Internet a temporairement désactivé son VPN, ce qui a permis à Ubiquiti de démasquer son adresse IP personnelle. Sharp a admis avoir menti aux agents du FBI lors d’une perquisition à son domicile dans Match 2021.
L’avocat américain du district sud de New York, Damian Williams, a déclaré que Sharp, qui gagnait 250 000 dollars par an, avait pris « des dizaines, voire des centaines, de décisions pénales » et avait même impliqué des collègues innocents pour détourner les soupçons. Sharp a admis que ses actions étaient planifiées pour un « gain financier ».
Ubiquiti a dépensé plus de 1,5 million de dollars pour tenter de remédier au vol « époustouflant » de Sharp. Ars Technica écrit qu’il a coûté beaucoup plus cher à l’entreprise après s’être fait passer pour un dénonciateur, avoir publié de faux rapports dans les médias et avoir contacté les régulateurs américains et étrangers pour enquêter sur la minimisation par Ubiquiti de la violation de données. Il a également affirmé qu’Ubiquiti ne disposait pas d’un mécanisme de journalisation qui lui aurait interdit de déterminer si « l’attaquant » avait accédé à des systèmes ou à des données. Les actions de Sharp ont provoqué l’effondrement des actions d’Ubiquiti, effaçant 4 milliards de dollars de sa capitalisation boursière.
« Nickolas Sharp a été payé près d’un quart de million de dollars par an pour aider à assurer la sécurité de son employeur », a déclaré Williams dans un communiqué de presse. « Il a abusé de cette confiance en volant une quantité massive de données sensibles, en tentant d’impliquer des employés innocents dans son attaque, en extorquant une rançon à son employeur, en faisant obstruction aux forces de l’ordre et en diffusant de fausses nouvelles qui ont nui à l’entreprise et à quiconque a investi dans l’entreprise. Sharp risque maintenant de lourdes sanctions pour ses crimes impitoyables. »
Image centrale : Instantanés de bureau
