Une vie détruite par le téléchargement d'un logiciel d'IA : une histoire qui alerte sur les dangers de la cybersécurité
Par Futurism .Publié le
2025/03/06 08:58
En février dernier, Matthew Van Andel, employé de Disney, a téléchargé ce qui semblait être un outil d'intelligence artificielle (IA) utile depuis le site de développement GitHub. Loin de se douter que cette décision allait bouleverser sa vie : fuite de ses informations personnelles, y compris ses cartes de crédit et son numéro de sécurité sociale, et perte de son emploi, comme le rapporte le Wall Street Journal.
"Impossible de décrire le sentiment de violation", a déclaré Van Andel, âgé de 42 ans et père de deux garçons, au journal.
Le logiciel, un générateur d'images par IA, fonctionnait comme annoncé. Mais caché dans ses fichiers se trouvait un logiciel malveillant (malware), qu'un pirate tenace a utilisé pour infiltrer le gestionnaire de mots de passe de Van Andel. Ce dernier a découvert la supercherie lorsque le pirate, se faisant appeler "Nullbulge", lui a envoyé un message menaçant sur Discord, une plateforme de discussion et de communication vocale populaire auprès des joueurs.
Dans ce message, envoyé en juillet dernier, le pirate faisait référence à une conversation que Van Andel avait eue avec ses collègues de Disney sur Slack, une plateforme professionnelle utilisée pour le travail à distance. C'est ce qui a alerté Van Andel : ce n'était pas un simple message indésirable. Dans des e-mails ultérieurs, le pirate a menacé Van Andel en lui disant que s'il ne cédait pas à ses demandes, il finirait "exposé sur Internet".
Le lendemain, le pirate a utilisé les identifiants professionnels de Van Andel pour perpétrer une fuite massive de données chez Disney, déversant en ligne des informations allant des données clients confidentielles aux chiffres internes des revenus. Les informations personnelles de Van Andel ont également été compromises, y compris ses comptes financiers — soudainement submergés de factures non sollicitées —, ses réseaux sociaux, et même les identifiants Roblox de ses enfants.
Dans un billet de blog, le pirate s'est vanté de l'attaque, citant nommément Van Andel.
"1,1 téraoctets de données, près de 10 000 canaux, tous les fichiers de messages possibles, tout a été déversé", a écrit Nullbulge, selon une capture d'écran du WSJ. "Nous avons essayé d'attendre pour aller plus loin, mais notre homme de l'intérieur a perdu courage et nous a expulsés ! Je croyais que nous avions quelque chose de spécial, Matthew J. Van Andel !"
Le pirate a ajouté : "Considérez la divulgation de chaque détail de vos informations personnelles... comme un avertissement pour les gens à l'avenir."
Van Andel affirme avoir immédiatement contacté l'équipe de cybersécurité de Disney, surnommée "fire team", après avoir reçu les menaces du pirate. Leur enquête n'a rien trouvé sur son ordinateur professionnel, mais ils lui ont recommandé de vérifier minutieusement son ordinateur personnel. Un scan antivirus a révélé la présence du logiciel malveillant. Mais à ce stade, il était trop tard : le pirate avait déjà collecté suffisamment de données pour divulguer les informations de Disney et ruiner la vie de Van Andel.
Van Andel a compris que le pirate avait pu obtenir un accès aussi étendu uniquement via son gestionnaire de mots de passe, 1Password. Il s'est avéré que Van Andel n'avait pas sécurisé le logiciel avec une authentification à deux facteurs. Le pirate avait probablement installé un virus de type "enregistreur de frappe" (keylogger) sur son ordinateur personnel via l'outil d'IA, lui donnant ainsi un "accès quasi illimité", a expliqué un porte-parole de 1Password au WSJ.
Onze jours après la fuite, Disney a appelé Van Andel pour lui annoncer son licenciement, le privant d'environ 200 000 dollars de primes et de la couverture santé de sa famille. La société a affirmé avoir trouvé des preuves qu'il avait accédé à du matériel pornographique sur son ordinateur professionnel — une accusation que Van Andel dément fermement.
"C'est moi qui ai été piraté", a-t-il déclaré au représentant de Disney au téléphone, selon le WSJ.
Source: Futurism
Notez ce sujet