La récente publication d'un acte d’accusation comportant plusieurs chefs d’inculpation du grand jury à l'encontre de Nikolas Sharp dévoile un enchaînement unique et alambiqué d'événements à la suite d’un vol de données au sein d’Ubiquiti Networks. L’affaire s’est déroulée en mars dernier et a touché la société spécialisée de la mobilité (WiFi) et de l’IoT. A cette époque, Nikolas Sharp travaille au poste de « cloud lead » chez Ubiquiti Networks depuis août 2018, précise son compte Linkedin. Il était alors considéré comme une personne de confiance au sein de l’entreprise.

Un VPN pas si anonyme

Les responsables de la sécurité sont conscients que le départ d’un collaborateur est le moment propice pour un vol de données. Le cas de Nikolas Sharp n’échappe pas à cette règle. Le 9 décembre 2020, il a commencé à préparer son départ en postulant pour un poste dans une entreprise IT californienne. Le soir même, il aurait commencé son incursion dans l'infrastructure et les entrepôts de données de son employeur et aurait démarré ses recherches. Quelques minutes plus tard, la première des « attaques » a lieu et l'exfiltration des données de l'entreprise commence.

Les documents judiciaires prétendent que l’accusé a tiré parti de son accès autorisé aux serveurs GitHub et AWS de son employeur pour télécharger des gigaoctets de données confidentielles d'Ubiquiti. Même si nous n'avons aucun moyen de savoir si c'était la première incursion de Nikolas Sharp dans le monde de la cybercriminalité. Ses actions présumées indiquent qu’il avait conscience, plus que la moyenne, de la nécessité d'être anonyme pour commettre un cybercrime. À cette fin, M. Sharp aurait utilisé le service de réseau privé virtuel (VPN) Surfshark pour masquer l'adresse IP associée au lieu où il a accédé aux données de son employeur. Le 9 décembre 2020, puis à plusieurs reprises jusqu'au 28 décembre 2020, il aurait cloné et volé les données de son entreprise en abusant de son accès d’administrateur. Il a exfiltré les données via son compte VPN Surfshark (acquis en juillet 2020) vers un lieu non identifié. Non identifié, du moins, jusqu'à ce que l'Internet plante et tombe en panne. Pendant cette panne, l'adresse IP associée à la résidence de Nikolas Sharp à Portland (Oregon) a été temporairement démasquée.

Noyauter l’équipe de réponse à incident et demande de rançon

Le 28 décembre, un collègue découvre qu'une activité anormale s'est produite et une équipe commence à enquêter sur l'exfiltration non autorisée de données. M. Sharp se joint à ce travail de réponse à l'incident. En tant que membre de l'équipe chargée de l'« incident », il peut savoir quelles actions sont mises en œuvre pour identifier l'intrus et tenter de détourner l'attention de tous les évènements qui pourraient le démasquer. D’après l’enquête, il n’est pas resté passif. en modifiant les logs et changeant les données pour essayer de dissimuler son rôle. Il aurait également revu à la baisse ses exigences financières. Il a envoyé des courriels anonymes de demande de rançon à des cadres supérieurs d'Ubiquiti, demandant des bitcoins (pour un montant de 2 M$) en échange de la restitution des gigaoctets de données et de la révélation de l'emplacement de la vulnérabilité au sein du réseau de l'entreprise.

Pour cela, il a communiqué anonymement avec Ubiquiti via le chat Keybase. Sauf que l’entreprise a refusé de payer la rançon. En représailles, M. Sharp aurait publié une partie des données volées en ligne. Le 29 janvier, Nikolas Sharp efface et réinitialise son ordinateur. Le 24 mars, le FBI se présente à son domicile avec un mandat pour perquisitionner et l’interroger. Pendant son interrogatoire par les agents spéciaux du FBI, M. Sharp se défile. Mais il ne réalise pas que ces agents spéciaux sont très aguerris dans ce genre d’affaire.

Prendre le rôle d’un lanceur d’alerte

L'extorsion ayant échoué et le FBI l'ayant interrogé, Nikolas Sharp aurait tenté de masquer encore plus son action criminelle. Il a essayé de se faire passer anonymement pour un membre de l'équipe de remédiation en faisant valoir que, en tant que « dénonciateur vertueux », il se devait de partager certaines informations. M. Sharp aurait envoyé des courriels aux médias et aux entités règlementaires avec de fausses informations prétendant que l'entreprise dissimulait et minimisait volontairement une fuite de données « catastrophique ». Selon les courriels, Ubiquiti faisait le forcing pour tout dissimuler. Les allégations étaient plausibles et les médias ont commencé à s’emparer de l’affaire. Les gros titres de mars et avril 2021 sont sans pitié. The Verge écrit : « Ubiquiti est accusé d'avoir dissimulé une 'violation de données catastrophique' - et ne le nie pas » ; le site KrebsonSecurity avance que « selon un lanceur d’alerte, le vol de données d’Ubiquiti est catastrophique » ; Lightreading titre : « Le dernier piratage d'Ubiquiti révèle les problèmes de sécurité rencontrés par les opérateurs » ; enfin, Bleeping Computer affirme que « la cyberattaque d'Ubiquiti pourrait être bien pire que ce qui avait été initialement divulgué ». Comme le détaille l'acte d'accusation, l'effet était prévisible : la valeur d'Ubiquiti a chuté de 20 %, entraînant une perte de plus de 4 milliards de dollars en valeur de capitalisation boursière.

Ubiquity n’a pas tremblé

Ubiquiti a eu le mérite de rester sur ses positions et de laisser le processus se poursuivre. Ses analyses post-mortem ont montré ce qui s'était passé sur son réseau : Le VPN SurfShark et les adresses IP de Nikolas Sharp sont une seule et même chose. Le fait d’avoir confié l'incident au FBI pour enquête et au ministère de la Justice pour poursuites, l’entreprise a permis à la justice de faire son travail. Le 18 novembre 2021, le grand jury a rendu un acte d'accusation, qui a été scellé. Ce n'est qu'après l'arrestation de Nikolas Sharp, le 1er décembre, que les scellés ont été levés. Sa remise en liberté conditionnelle comporte plusieurs restrictions, dont l'interdiction d'utiliser un terminal ou d'accéder à Internet sans l'accord des services de police judiciaire des États-Unis, et la limitation de ses déplacements à l'Oregon et au district sud de New York pour le procès sans autorisation préalable. Nikolas Sharp doit comparaître devant le tribunal le 15 décembre 2021.