Un cas de piratage survenu au sein d’un sous-traitant du gouvernement fédéral américain est en train de devenir un exemple négatif de sécurité de l’information et d’examen du personnel. Récemment, les frères jumeaux Sohaib Akhter et Muneeb Akhter, âgés de 34 ans, ont été reconnus coupables par un jury fédéral ou ont plaidé coupables à l'avance pour avoir supprimé de manière malveillante des bases de données du gouvernement fédéral et mené des activités de piratage connexes après avoir été licenciés.

Selon les informations publiées par le ministère américain de la Justice, un jury a récemment déclaré Sohaib Akhter coupable de complot en vue de commettre une fraude informatique et de revente de mots de passe, tandis que son frère Muneeb avait précédemment admis avoir participé à des actes connexes par le biais d'un accord de plaidoyer. L'incident s'est produit après que les deux hommes ont été licenciés de leur emploi par l'entrepreneur du gouvernement fédéral Opexus, qui fournit des services à plus de 45 agences gouvernementales et héberge des informations sensibles, notamment des données liées à la Freedom of Information Act (FOIA) et des dossiers d'enquête fédéraux.

L'affaire montre qu'Opexus a notifié les deux licenciements par vidéoconférence en février de l'année dernière après que l'entreprise a découvert qu'ils avaient été condamnés par le gouvernement fédéral pour cybercriminalité remontant à 2015, un contexte clé qui n'avait pas été entièrement reconnu lors de l'embauche initiale. Bien que la société ait affirmé avoir procédé à des « vérifications approfondies des antécédents » des deux hommes, elle n'a apparemment pas réussi à fouiller dans leurs antécédents de piratage, et cette omission a ouvert la voie à de graves attaques internes ultérieures.

Quelques minutes après avoir reçu le feuillet rose, les frères ont commencé à cibler les données des entreprises et du gouvernement. L'enquête a révélé qu'en quelques heures seulement, Muneeb a supprimé environ 96 bases de données contenant des données de demandes FOIA et des documents liés aux enquêtes fédérales. Dans le même temps, il a également verrouillé d’autres comptes d’utilisateurs, empêchant ainsi un accès normal au système.

Ce qui est encore plus embarrassant, c'est qu'Opexus n'a coupé l'accès au système de Sohaib qu'à temps pendant le processus de résiliation, mais a "oublié" de faire de même avec le compte de Muneeb. Six minutes après avoir été informé de son licenciement, Muneeb avait commencé à bloquer d'autres utilisateurs et à supprimer des bases de données, avant de voler 1 805 documents supplémentaires de la Commission pour l'égalité des chances en matière d'emploi (EEOC) et les informations fiscales fédérales de plus de 450 personnes.

Lorsque les enquêteurs ont reconstitué l'incident, ils ont constaté que le « niveau technique » des deux frères n'était pas aussi sophistiqué que celui des hackers professionnels. Après avoir supprimé la base de données, afin de brouiller les pistes, Muneeb a en fait demandé à un chatbot IA comment effacer les journaux du système pour tenter d'effacer les traces de l'opération. Bien que le dossier n'ait pas divulgué les outils de communication spécifiques entre les deux parties, les forces de l'ordre ont finalement obtenu des enregistrements textuels de leurs conversations, qui sont devenus l'une des preuves importantes.

En fait, ce n’est pas la première fois que les frères Akhter sont impliqués dans une affaire fédérale de cybercriminalité. Dans une affaire précédente datant de 2015, les deux hommes avaient admis avoir piraté plusieurs sites Web, volé des informations de carte de crédit et tenté de vendre des données personnelles sur le dark web. À l’époque, Sohaib était également accusé d’avoir conspiré avec son frère et d’autres personnes pour voler les informations personnelles de ses collègues et d’avoir secrètement installé des dispositifs matériels pour surveiller les systèmes gouvernementaux au fil du temps alors qu’il était au Département d’État américain.

Opexus a admis après l'incident que, bien que l'entreprise ait procédé à des vérifications des antécédents lors de l'embauche, celles-ci n'étaient "apparemment pas assez approfondies" pour identifier les antécédents fédéraux de cybercriminalité des frères. Cette erreur, associée à l’incapacité de révoquer complètement toutes les autorisations de compte en cas de licenciement, a directement conduit à la suppression et au vol à grande échelle de données gouvernementales sensibles en quelques heures.

En termes de procédure judiciaire, Muneeb a signé l'accord de plaidoyer avant son frère, mais il a récemment commencé à demander au tribunal de retirer son plaidoyer dans des lettres manuscrites alors qu'il était en prison. Dans la lettre, il affirmait que son avocat était « inefficace » et exprimait son espoir de comparaître devant le tribunal pour se défendre. L'orientation ultérieure de l'affaire attend toujours un jugement ultérieur du tribunal.

L'incident souligne que toute défaillance dans l'examen du personnel et la gestion des comptes dans les systèmes critiques impliquant des données gouvernementales, des dossiers d'enquête et la vie privée des citoyens peut rapidement se transformer en de graves incidents de cybersécurité. Pour les agences gouvernementales qui s’appuient sur des sous-traitants et des services tiers, la manière d’établir des mécanismes de sécurité plus stricts et plus systématiques dans les processus de recrutement, de vérification des antécédents, de gestion des autorités et de démission devient une question pratique inévitable.