L'affaire était digne d'un scénario de film de série B. Avec dans le rôle principal Jonathan Toebbe, ancien ingénieur de la Navy américaine qui a eu l'idée lumineuse de vendre des secrets de sous-marins nucléaires. Et a utilisé pour les stocker une carte mémoire SD Sandisk de 16 Go cachée dans un sandwich au beurre de cacahuète... Ce dernier espérait tirer de la revente de ces données une substantielle somme : 5 millions de dollars. Rattrapé par le FBI, Jonathan Toebbe dort actuellement dans une prison en Virginie-Occidentale en attendant son procès en décembre. Difficile d'imaginer les discussions au sein des équipes en sécurité de l'information de la Navy après avoir appris que certains des secrets les plus sensibles ont pu transiter depuis des environnements classifiés jusqu'au domicile d'un employé. Allant même jusqu'à être transmises à un tiers non autorisé, un pays de « rang 1 » selon les Etats-Unis, ayant prévenu le FBI de cette tentative de transaction via son ambassade.

Cette opération constitue sans doute la quintessence d'une menace interne ayant aboutie. Les personnes impliquées dans le business de l'atténuation des menaces internes sont presque universellement d'accord pour dire que la propension d'un individu à lever des secrets professionnels exclusifs augmente à mesure qu'il se rapproche de la séparation ou de son départ. C'est précisément le cas pour Jonathan Toebbe. Ancien lieutenant, cet officier en génie nucléaire était employé depuis 2012 dans le service d'ingénierie des réacteurs nucléaires avant de devenir officier de réserve et de quitter la Navy en décembre 2020. Les documents judiciaires semblent bien brosser le portrait d'un Jonathan Troebbe espérant obtenir un salaire extraordinaire en abandonnant la Navy. 

Un employé malveillant formé à la lutte contre les cybermenaces

Jonathan Troebbe a raconté comment il avait mis la main sur ces informations de manière à ne pas éveiller les soupçons de ses collègues. « J'ai fait extrêmement attention à rassembler les fichiers que j'ai collecté lentement et naturellement dans mon travail routinier afin que personne ne se doute de mon plan. Nous avons été formés sur les signes d'alertes permettant de détecter des menaces internes. Je pense qu'aucun de mes anciens collègues ne m'aurait soupçonné en cas d'enquête », explique Jonathan Troebbe.

Les documents judiciaires révèlent que l'accumulation des 10 000 pages de documents a été faite au au cours de nombreuses années, sans problème d'autorisation pour Jonathan Troebbe pour y accéder. Il a également mémorisé des informations et recréé des schémas à la maison. De plus, ce vol de secrets s'est déroulé sur plusieurs sites de recherche de la Navy. L'analyse de ses échanges et de sa démarche indiquent qu'il lisait beaucoup d'histoires d'espionnage et employait des méthodologies utilisées par d'autres « initiés » ayant réussi à trahir la confiance et voler des informations.

Les méthodologies d'exfiltration plus fortes que les systèmes infosec

Jonathan Toebbe n'est pas le seul à avoir mis en oeuvre avec succès une technique d'exfiltration de données passée relativement inaperçue. D'autres employés ou sous-traitants d'agences gouvernementales ont utilisé des techniques ayant également marqué les mémoires du contre-espionnage. A l'instar de Jonathan Toebbe, ces derniers ont également été formés à la nécessité de signaler eux-mêmes toute erreur dans le traitement des informations classifiées et de signaler toute activité suspecte sur le lieu de travail.

Au milieu des années 80, un analyste de la Navy, Jonathan Pollard, a sorti des documents de son lieu de travail, deux ou trois fois par jour plusieurs fois dans la semaine. Pour ce faire, une bonne vielle valise a été utilisée en attendant de les remettre au responsable des services de renseignement israéliens. Ce vol de documents est passé inaperçu pendant un an avant que l'un de ses collègues commence à voir quelque chose et donner l'alerte. En fin de compte, le gouvernement a déterminé que Jonathan Pollard avait sorti l'équivalent de plus d'un demi-mètre cube de matériaux classifiés.

En 2015, Reality Winner, un entrepreneur de la National Security Agency (NSA), a imprimé un document classifié sur son lieu de travail et l'a fourré dans ses collants avant de passer devant les gardes de sécurité et l'envoyer par la poste à un média. Elle avait aussi reçu une formation sur les menaces internes. Elle a été démasquée lorsque le média a demandé à la NSA de confirmer la véracité des données qui leur avaient été envoyées. L'enquête qui s'en est suivie a montré que Reality Winner faisait partie d'un nombre limité de personnes ayant lu document, mais la seule à l'avoir imprimé.

Troisième hacker interne : Harold Martin, un entrepreneur au sein de la communauté du renseignement qui a été découvert pour avoir caché des informations de ses différents lieux d'emploi de 1996 à 2016. Lorsqu'il a été confondu, les enquêteurs du FBI ont trouvé l'équivalent de plus de 50 To d'informations conservées entre autre à son domicile. Au cours de son procès, le gouvernement a noté qu'il avait reçu une formation interne sur les menaces. Ses tirades contre la NSA ont provoqué l'ouverture d'une enquête qui a révélé le vol massif de données.

Ana Belen Montes a aussi été condamné à de la prison en 2002. Au moment de son arrestation, elle était analyste pour le compte du ministère de la Défense depuis 17 ans pour suivre les affaires cubaines mais faisait également double-jeu en travaillant en secret pour le gouvernement cubain. Elle était douée d'une mémoire quasi photographique et on pense donc qu'elle n'a jamais pris de documents sur son lieu de travail. Au contraire, elle a mémorisé le contenu et l'a ensuite recréé pour le transmettre à ses contacts cubains. Elle s'est faite rattrapée lorsqu'un transfuge cubain a fourni des indices ayant permis son identification. 

Comment Jonathan Toebbe aurait-il dû être démasqué ?

Le scénario de vol de documents par Jonathan Toebbe pourrait-il aujourd'hui passer sous le radar des technologies actuelles de surveillance des menaces internes ? Des collègues pourraient-ils être à même de détecter plus facilement un tel événement anormal impliquant des documents classifiés ? Autant de questions auxquelles l'évaluation des dommages au sein de la Navy s'efforce sans doute de répondre. Joe Payne, CEO de Code42, note qu'il existe aujourd'hui des différences d'approches entre le gouvernement et le secteur privé. Il a observé à quel point les attentes sont considérablement plus élevées en matière de comportement des employés formés dès le départ au mantra « voire quelque chose et dire ». Et de poursuivre qu'il existera « toujours des miettes d'indice » permettant aux enquêteurs de découvrir des agissements comparables à celui de Jonathan Toebbe.

De son côté, Rajan Koo, directeur de la clientèle chez DTEX Systems, note d'après son expérience que « l'individu malveillant enfreint rarement les règles de contrôle des données ». Jonathan Toebbe avait été autorisé à continuer à accéder aux informations de sécurité nationale à la suite d'une enquête préliminaire sur ses finances personnelles et ses interactions avec ses voisins et collègues. Armaan Mahbod, directeur, sécurité et intelligence économique de DTEX Systems, explique quant à lui comment la technologie d'aujourd'hui aurait pu détecter les comportements malveillants d'Ana Belen Montes et de Jonathan Toebbe : « L'utilisateur qui lit/numérise ne s'attarde pas. La technologie aurait pu être capable de dire pendant combien de temps un utilisateur parcours des documents spécifiques par rapport à d'autres autres et remonter l'alerte en cas d'activité anormale ».

Les RSSI face à la dure réalité terrain

L'atout technologique ne fait pas tout. La réalité, concède Armaan Mahbod, est que le personnel qualifié qui peut détecter des comportements malveillants, fait aussi défaut. La menace interne est très transactionnelle et ceux qui se livrent à un vol lent et méthodique de documents à partir de leur accès naturel pourraient atteindre le résultat escompté faute de personnel qualifié en audit. « Ce que nous constatons, c'est que les organisations ont des degrés variables de communication croisée entre les départements comme les RH, l'informatique et la sécurité », explique-t-il. « L'objectif final étant que l'ensemble de l'organisation renforce sa communication, ce qui accroit encore la sécurité ».

Le RSSI qui se concentre sur les menaces internes doit être rattaché aux autres domaines de l'entreprise et de l'infrastructure pour garantir que le comportement d'un employé impliqué dans un domaine faisant l'objet d'une enquête doit être examiné. Le top management doit encourager tous les employés et sous-traitants à adopter la mantra « voir quelque chose et dire » lorsqu'ils échangent entre collègues. Et Joe Payne d'expliquer que ceux qui luttent contre les menaces internes devraient « permettre à leur personnel de faire leur travail, de manière fiable tout en mettant en place un mécanisme les remettant dans le droit chemin lorsqu'ils s'éloignent des processus et procédures habituelles ». En cybersécurité plus qu'ailleurs, la confiance n'exclut vraiment pas le contrôle.