Une logic bomb (ou bombe logique) est un morceau de code malveillant inséré délibérément dans un système informatique, qui s’exécute lorsqu’une condition prédéfinie est remplie (date, événement, action utilisateur, etc.), provoquant un dommage ciblé : suppression de données, arrêt de service, fuite d’informations, etc.
Contrairement à un virus ou un ransomware, elle n’est pas auto-réplicante : elle attend passivement son déclencheur.
Caractéristiques clés
| Aspect | Détail |
|---|---|
| Nature | Code malveillant dormant (« sleeper code ») |
| Déclencheur | Condition logique :<br>– Date/heure précise (« le 1er janvier 2027 »)<br>– Événement système (« si l’utilisateur X est supprimé »)<br>– Action (« après 100 connexions échouées ») |
| Objectif | Sabotage, vengeance, espionnage, destruction |
| Cible typique | Entreprises, institutions critiques, anciens employés malveillants |
Exemple concret
Un développeur licencié insère, avant son départ, une ligne de code dans le logiciel de paie de son entreprise :
Code en Python
if current_date == "2026-12-31":
delete_all_payroll_records()→ Le 31 décembre 2026, au moment de la clôture annuelle, toutes les données de paie sont effacées.
→ Le code était inoffensif pendant un an → difficile à détecter.
Différence avec d’autres menaces
| Menace | Auto-réplication ? | Déclenchement | Exemple |
|---|---|---|---|
| Logic bomb | Non | Condition logique | Code dormant activé le jour J |
| Virus | Oui | À l’exécution d’un fichier | Infecte d’autres programmes |
| Ransomware | Oui | Immédiat ou différé | Chiffre les fichiers dès l’entrée |
| Backdoor | Non | À la demande du pirate | Accès caché permanent |
Contextes à risque
- Départs conflictuels d’employés avec accès privilégié (développeurs, admins système)
- Logiciels propriétaires non audités (code opaque)
- Systèmes critiques (industrie, santé, finance) où un arrêt coûte cher
- Supply chain attacks : une mise à jour légitime contient une logic bomb
Mesures de protection (pour un RSSI)
- Audit de code (revue par pairs, outils SAST/SCA)
- Principe du moindre privilège : limiter les accès au code source et aux systèmes critiques
- Gestion des départs : révoquer immédiatement les accès, scanner les dépôts
- Surveillance des logs : détecter les modifications suspectes (ex. : code ajouté sans revue)
- Backups hors ligne et testés : pour restaurer après une destruction
Aspect juridique (France / UE)
Insérer une logic bomb est un délit pénal :
- Article 323-3 du Code pénal (France) : « Entrave au fonctionnement d’un système de traitement automatisé de données » → jusqu’à 5 ans de prison et 150 000 € d’amende.
- Si données personnelles concernées → RGPD (sanctions jusqu’à 4 % du CA mondial).
Une logic bomb est une arme logicielle à retardement, conçue pour frapper quand on s’y attend le moins. Elle exploite non pas une faille technique, mais une faille humaine ou organisationnelle.