Sept adolescents ont été arrêtés, jeudi 24 mars, au Royaume-Uni, dans le cadre de l’enquête sur Lapsus$, un groupe de pirates informatiques qui a revendiqué ces dernières semaines plusieurs attaques très médiatisées contre des entreprises célèbres, comme Microsoft, Nvidia ou Samsung. Ces interpellations tombent alors que l’étau se resserrait autour d’un jeune britannique, mineur, soupçonné d’être un membre important de ce groupe.
Lapsus$ est un gang pour le moins atypique. Les plus grands acteurs organisés spécialisés dans l’extorsion recrutent sur des forums spécialisés, le plus souvent russophones, et ne s’expriment publiquement que pour faire davantage pression sur leurs victimes. Mais Lapsus$ anime une chaîne Telegram, sur laquelle il annonce, au vu et au su de tous, ses piratages, publie des sondages en demandant aux lecteurs quelles données ils aimeraient voir fuiter, et tient même à jour un groupe de discussion chaotique, « Lapsus$ Chat », empli de mèmes, de blagues de mauvais goût et de messages apparemment écrits par des adolescents fascinés par le groupe et l’aspect illicite de ses activités.
Le 11 janvier, Lapsus$ est, par exemple, soupçonné d’avoir mené une attaque de faible ampleur contre le site de Localiza, un concessionnaire brésilien de voitures de location, redirigeant les visiteurs vers le géant du porno Pornhub.
Des attaques très médiatiques
Ces derniers mois, pourtant, le groupe a revendiqué des actions dont l’ampleur et le prestige contrastent avec le ton décomplexé de sa communication et l’apparente légèreté de ses méthodes. En mars, il a affirmé s’être introduit dans des serveurs appartenant à Microsoft. L’entreprise a déclaré par la suite que seul un compte interne d’employé avait été compromis, très vite repéré, et qu’aucune information sensible n’avait été volée.
Plus tôt dans le mois, ce sont des données provenant du groupe de téléphonie emblématique coréen Samsung qui ont commencé à être publiées sur la chaîne Telegram de Lapsus$ : l’entreprise a confirmé une intrusion, tout en affirmant que les données des clients et employés n’étaient pas compromises.
Un mois plus tôt, le groupe avait publié en partie des informations dérobées à Nvidia, dans une attaque que le constructeur de matériel informatique a relativisé dans la presse. Enfin, Lapsus$ a récemment revendiqué à demi-mot une attaque contre Ubisoft, sans davantage s’exprimer sur le sujet depuis. L’éditeur français de jeux vidéo n’a pas répondu aux sollicitations du Monde et a renvoyé à un communiqué publié le 10 mars faisant simplement état d’un « incident » informatique.
Le gang, qui semble vouloir rançonner ses victimes en menaçant de publier des données volées, cherche, pour s’infiltrer dans les réseaux des entités ciblées, à exploiter des failles humaines ou acheter des accès ou des comptes d’employés sur des plates-formes du marché noir, comme Genesis. « On sait qu’ils cherchent des accès VPN [outils qui permettent aux internautes de masquer leur identité en ligne] ou des employés qui sont directement dans les entreprises et qui pourraient leur fournir des accès », explique Narimane Lavay, experte en analyse de la menace dans l’entreprise spécialisée Sekoia.
Vol de mots de passe
Sur Telegram, le groupe a même lancé des appels à contribution, annonçant publiquement qu’il cherchait à recruter des employés ayant des accès dans de grandes entreprises pour pouvoir utiliser leurs identifiants et s’introduire dans leurs serveurs. Selon un rapport de Microsoft, Lapsus$ s’appuie, entre autres, sur un logiciel voleur de mots de passes, et fouille également les nombreuses fuites de données qui circulent sur Internet à la recherche d’identifiants à utiliser. L’entreprise ajoute que le groupe a également pu utiliser le SIM Swapping, une méthode qui consiste à détourner le numéro de téléphone d’une personne, afin de réinitialiser des mots de passe, par exemple.
Les méthodes du groupe interrogent sur les motivations réelles de ses membres. A l’époque des premières victimes, les négociations « étaient assez étendues dans le temps : il y avait un message d’extorsion, puis un autre quelques jours plus tard (…) et ça pouvait durer des jours, voire plus, détaille Livia Tibirna, experte en analyse de la menace à Sekoia. Dernièrement, il n’y a plus de délai entre l’annonce du piratage et la publication des données. » Une évolution qui laisse penser que les acteurs impliqués cherchent aussi à faire parler d’eux en faisant des « coups » prestigieux.
Tous les experts ayant observé ce groupe s’accordent sur son amateurisme en matière de discrétion et de protection de leur identité. « Contrairement à la plupart des acteurs qui souhaitent rester sous les radars, DEV-0537 [le nom donné au groupe par l’entreprise] ne semble pas maquiller ses traces », insiste Microsoft dans son rapport. Dans son analyse, Sekoia révèle qu’un lien semble exister entre Lapsus$ et « 4c3 », un pirate qui a revendiqué, sur des forums de discussion, en juillet 2021, une attaque importante contre le géant du jeu vidéo Electronic Arts. « Souvenez-vous de notre nom. Lapsus$ », écrivait-il notamment. Ce piratage, raconté par le site Vice, correspond aux méthodes attribuées au groupe, utilisant notamment des identifiants achetés sur le marché noir. Comme le rappelle Sekoia, une adresse de portefeuille de cryptomonnaies reliée au piratage d’Electronic Arts correspond également à une adresse retrouvée dans d’autres tentatives d’extorsion attribuées au groupe.
EN 2021, à la suite d’une querelle entre Lapsus$ et les propriétaires de Doxbin, le groupe décide de publier un grand nombre d’informations appartenant à ce site utilisé pour fuiter des données personnelles. Or, dans cette masse de données se trouvaient des éléments identifiant un membre présumé de Lapsus$.
De nombreuses erreurs
Surnommé « White », il y est décrit comme un adolescent britannique vivant encore chez ses parents. « 4c3 » et « White » sont possiblement la même personne : selon Sekoia, un certain « doxbinwh1te » a, en effet, lui aussi revendiqué, sur le forum de pirates Exploit, le piratage d’Electronic Arts, cherchant ainsi à se faire recruter par des groupes cybercriminels. Ce compte a également mentionné plusieurs attaques attribuées à Lapsus$, dont celle d’une entité gouvernementale brésilienne. Un expert, interrogé par le journaliste spécialisé Brian Krebs, conforte la thèse de Vice.
La police britannique, interrogée jeudi par la BBC, n’a pas précisé si le jeune homme faisait partie des sept personnes interpellées dans le cadre de l’enquête sur Lapsus$. Cependant, les autorités ont bien confirmé avoir identifié « White ». « Nous avions son nom depuis le milieu de l’année dernière », a expliqué une enquêtrice à la BBC, disant que le jeune homme avait commis de nombreuses erreurs compromettant son identité.
De nombreuses questions entourant Lapsus$ restent en suspens. Plusieurs éléments laissaient penser que le groupe opère en partie depuis l’Amérique latine, en raison aussi bien des premières victimes que de la langue utilisée par le groupe. « Sur leur canal Telegram, ils ont commencé par communiquer en portugais » en plus de l’anglais, explique Narimane Lavay. L’identité des autres membres du groupe reste également inconnue, tout comme son avenir, alors que la pression judiciaire s’accroît. Mercredi, sur son canal Telegram, Lapsus$ a annoncé que certains de ses membres prenaient des « vacances » : « Nous risquons d’être discrets pendant un certain temps. »
Contribuer
Réutiliser ce contenu
