
Conor LaHiff, ancien responsable informatique d’un lycée public du New Jersey, a admis avoir commis une cyberattaque contre son ancien employeur à la suite de la cessation de son emploi en juin 2023.
La semaine dernière, le département américain de la Justice (DOJ) a annoncé que LaHiff avait plaidé coupable à un chef d’accusation de dommages non autorisés à des ordinateurs protégés, en violation de la Loi sur la fraude et les abus informatiques (CFAA).
L’annonce du ministère de la Justice décrit la cyberattaque comme un acte de représailles, ciblant spécifiquement les comptes Apple et administrateur informatique pour causer des dommages et perturber les opérations de l’école.
« Après avoir été licencié, LaHiff a utilisé ses privilèges administratifs pour désactiver et supprimer des milliers d’identifiants Apple du compte Apple School Manager de l’école – un logiciel utilisé pour gérer les ressources informatiques des étudiants, des professeurs et du personnel », lit-on dans l’annonce du DOJ américain.
« LaHiff a également désactivé plus de 1 400 autres comptes Apple et d’autres comptes administratifs informatiques et désactivé le système téléphonique de la succursale privée de l’école, ce qui a rendu le service téléphonique de l’école indisponible pendant environ 24 heures. »
Selon des documents judiciaires publiés, LaHiff a effectué les actions suivantes après la cessation de son emploi:
- Suppression de 1 200 identifiants Apple du compte Apple School Manager de l’école
- Désactivation de plus de 1 400 autres comptes Apple
- Tentative de déconnexion des identifiants de classe Apple, des identifiants de cours, des identifiants d’emplacement et des identifiants de personne du compte Apple School Manager de l’établissement.
- Comptes administratifs désactivés, y compris les comptes chez les fournisseurs de sécurité.
- Désactivé le service téléphonique de la succursale privée de l’école
L’annonce indique que les actions de LaHiff ont causé à l’école au moins 5 000 losses de pertes financières directes.
Il s’agit d’un autre cas d’un ancien employé mécontent utilisant son accès de haut niveau non révoqué pour endommager des réseaux critiques par dépit.
Le simple fait de coordonner les décisions en matière de ressources humaines avec les actions du service informatique, telles que la révocation de l’accès au compte pour le personnel licencié, atténuerait considérablement ces risques.
Fait intéressant, malgré ses actions, LaHiff avait déjà occupé un poste similaire dans un autre lycée public, que le juge demande à LaHiff de notifier du plaidoyer de culpabilité.
LaHiff devrait être condamné le 20 mars 2024 et encourt une peine maximale potentielle de 10 ans de prison et des amendes allant jusqu’à 250 000$.