Comment un hacker a volé 3,7M$ via des emails non sécurisés

L'histoire vraie de Robert Westbrook : quand la négligence des emails coûte des millions

Londres, janvier 2019. Robert Westbrook, ancien analyste financier viré pour piratage, fixe son écran d'ordinateur dans son petit appartement. Une idée diabolique germe dans son esprit : "Et si je piratais directement les entreprises cotées pour voler leurs résultats financiers AVANT publication ?"

Ce qui suit révèle comment la négligence dans la sécurisation des emails peut transformer n'importe quelle entreprise en distributeur automatique de millions de dollars pour les cybercriminels.

Cette histoire vraie, documentée par la SEC américaine, illustre parfaitement pourquoi la protection des communications confidentielles n'est plus optionnelle en 2025.

La faille ridicule qui a tout déclenché : des questions de sécurité trouvables sur Facebook

La première cible de Westbrook ? Tupperware. L'entreprise traverse une crise majeure, son action a perdu 50% en un an, mais le cours remonte mystérieusement avant l'annonce des résultats trimestriels.

Westbrook découvre que Tupperware utilise Microsoft 365 avec un système de récupération de mot de passe d'une simplicité hallucinante :

"Pour réinitialiser un mot de passe, il suffit de répondre à une question de sécurité : Quel est le nom de jeune fille de votre mère ?"

En quelques heures de recherche sur les réseaux sociaux, sites de généalogie et annuaires en ligne, Westbrook trouve la réponse. 26 janvier 2019, 3h du matin : il tape la réponse et obtient l'accès complet à la boîte mail du directeur financier de Tupperware.

Le trésor caché dans une simple boîte mail

Dans la messagerie non protégée, Westbrook découvre un brouillon de communiqué de presse daté du jour même. Le contenu lui coupe le souffle :

• Chiffre d'affaires : -14% (catastrophique)
• Bénéfices : bien pire qu'attendu par les analystes
• Dividendes : -60% pour la première fois en 4 ans

Pendant que le marché pense que Tupperware va rebondir, Westbrook sait que c'est l'effondrement. Il dispose de 5 jours d'avance sur l'information la plus sensible de l'entreprise.

3,7 millions de dollars volés grâce à des emails non chiffrés

Fort de ce premier succès (+322 000$ sur Tupperware), Westbrook industrialise son approche. Entre février 2019 et octobre 2020, il s'attaque systématiquement à d'autres entreprises :

• Tutor Perini (BTP) : +40 000$
• Guidewire (logiciels) : +236 000$
• Lumentum Holdings (optique) : +146 000$
• Murphy USA (stations-service) : +1 400 000$ en une journée

La machine à espionnage automatique

L'innovation diabolique de Westbrook : il ne se contente pas de voler une fois. Dans chaque boîte mail compromise, il configure discrètement des règles de transfert automatique :

Condition : Transférer vers une adresse anonyme tous les emails qui viennent de la direction financière, contiennent une pièce jointe, ou incluent le mot "résultats" ou le code ticker de l'entreprise.

Résultat : Une machine à espionnage qui fonctionne 24h/24 pendant 2 ans, alimentant automatiquement Westbrook avec :

• Brouillons de communiqués de presse
• Scripts de conférences téléphoniques
• États financiers préliminaires
• Rapports internes confidentiels

Sur la plateforme de trading TexLive, Westbrook devient une légende, classé 2ème meilleur trader d'Amérique du Nord en 2020. Tout le monde veut connaître son secret. Lui sourit et parle de "flair exceptionnel".

Comment la SEC l'a finalement attrapé : l'erreur des transferts emails

La chute de Westbrook révèle l'importance du monitoring des configurations emails. Un jour, une victime vérifie ses paramètres Outlook et découvre des règles de transfert étranges vers des adresses inconnues.

L'alerte est donnée. Une enquête révèle que plusieurs entreprises ont été victimes de la même technique. La SEC commence à connecter les points :

• Même méthode partout : Comptes Microsoft piratés via questions de sécurité
• Mêmes VPN : Adresses IP identiques sur plusieurs hacks
• Timing suspect : Quelqu'un achète massivement des options juste avant les résultats
• Même trader : Toutes les transactions remontent à Robert Westbrook

L'erreur fatale : la trace Bitcoin

Les enquêteurs découvrent un email de confirmation VPN dans une boîte anonyme. En analysant la blockchain Bitcoin, ils remontent jusqu'à un wallet qui a été alimenté depuis une plateforme d'échange... au nom de Robert Westbrook.

27 septembre 2024 : Arrestation à Londres. Charges : fraude en valeurs mobilières, fraude informatique, 25 ans de prison potentiels et 10 millions de dollars d'amendes.

Les vulnérabilités critiques révélées par l'affaire Westbrook

Cette histoire expose des failles de sécurité qui existent encore aujourd'hui dans de nombreuses entreprises :

1. Questions de sécurité = faille béante

Les informations personnelles sont facilement trouvables sur les réseaux sociaux. Les questions de sécurité traditionnelles ne protègent plus rien et doivent être remplacées par une authentification multi-facteurs obligatoire.

2. Transferts emails automatiques = porte dérobée invisible

Les règles de transfert automatique peuvent transformer n'importe quelle boîte mail en mouchard permanent. Combien d'entreprises auditent régulièrement ces paramètres ? Très peu.

3. Documents sensibles par email = bombe à retardement

États financiers, rapports confidentiels, données stratégiques : si vos informations les plus sensibles transitent par email sans protection, vous êtes la prochaine cible.

"Westbrook n'était pas un génie du hacking. Il a exploité des négligences basiques : authentification faible, pas de monitoring des accès, documents critiques non protégés."

La question brutale : combien de "Westbrook" lisent vos emails en ce moment ?

Si Robert Westbrook a pu :

• Accéder à 5 entreprises différentes avec la même technique élémentaire
• Installer des mouchards automatiques pendant 2 ans sans détection
• Voler 3,7 millions de dollars d'informations financières

Combien d'autres cybercriminels utilisent les mêmes méthodes actuellement ?

L'affaire Westbrook n'est pas un cas isolé. Elle révèle une réalité dérangeante : vos emails non sécurisés sont des coffres-forts ouverts pour quiconque maîtrise les techniques d'ingénierie sociale de base.

Comment protéger vos communications confidentielles en 2025

Face à ces menaces, la sécurisation des partages confidentiels n'est plus optionnelle. Voici les mesures essentielles :

Abandonner l'email pour les documents sensibles

Les emails ne sont pas conçus pour la confidentialité. Pour partager des informations stratégiques, financières ou sensibles, utilisez des solutions de partage sécurisé qui offrent :

• Chiffrement de bout en bout : Vos documents sont illisibles même en cas de piratage
• Contrôle d'accès granulaire : Qui peut voir quoi, quand et où
• Traçabilité complète : Logs détaillés de tous les accès et actions
• Expiration automatique : Les liens deviennent inutilisables après la période définie

Implémenter des contrôles de géolocalisation

Westbrook opérait depuis Londres pour pirater des entreprises américaines. Des restrictions géographiques auraient pu limiter considérablement ses capacités d'exploitation.

Surveiller les configurations emails

Auditez régulièrement :

• Les règles de transfert automatique
• Les redirections vers des domaines externes
• Les accès depuis des localisations inhabituelles

Former les équipes aux risques d'ingénierie sociale

La technique de Westbrook (recherche d'informations personnelles pour contourner l'authentification) reste très efficace. Vos employés savent-ils identifier et signaler ces tentatives ?

L'enseignement fondamental de l'affaire Westbrook

Robert Westbrook a démontré qu'avec des techniques élémentaires et de la patience, il est possible de :

• Compromettre des entreprises du Fortune 500
• Voler des millions d'informations financières
• Opérer pendant des années sans détection

Tout cela grâce à des emails non sécurisés et des authentifications faibles.

Dans votre entreprise, combien de "questions de sécurité" donnent accès à des millions d'euros d'informations ? Combien de documents confidentiels transitent par email sans protection ?

La cybersécurité n'est pas qu'un enjeu technique. C'est une question de protection de la valeur business. Westbrook l'a compris et en a profité. Il est temps que les entreprises en fassent autant.

Protégez vos communications confidentielles dès aujourd'hui

L'histoire de Robert Westbrook nous rappelle qu'un simple email non sécurisé peut coûter des millions. Ne laissez pas vos documents confidentiels à la merci du prochain cybercriminel.

Découvrez comment sécuriser vos partages confidentiels avec des solutions de chiffrement de bout en bout, de contrôle d'accès granulaire et de traçabilité complète.

Parce que vos informations sensibles méritent mieux qu'un simple email.

Découvrir les solutions de partage sécurisé Sharokey ou contactez nos experts en sécurité pour une démonstration personnalisée.

Source : Plainte SEC vs Robert Westbrook, septembre 2024 - Affaire publique référencée dans les archives judiciaires américaines