Vous utilisez une ancienne version de votre navigateur. Veuillez utiliser une version prise en charge pour bénéficier d’une meilleure expérience MSN.

Sur les traces de Lapsus$, un groupe de pirates informatiques entre extorsion de fonds et vantardise

logo de Le Monde Le Monde 25/03/2022 Florian Reynaud

Microsoft, Samsung, Nvidia… Actif depuis près d’un an, ce gang a revendiqué plusieurs actions contre des victimes prestigieuses, mais aussi commis des erreurs qui ont mis les autorités sur la trace d’un adolescent britannique.

Sept adolescents ont été arrêtés, jeudi 24 mars, au Royaume-Uni dans le cadre de l’enquête sur Lapsus$, un groupe de pirates informatiques qui a revendiqué ces dernières semaines plusieurs attaques très médiatisées contre des entreprises célèbres, comme Microsoft, Nvidia ou Samsung. Ces interpellations tombent alors que l’étau se resserrait autour d’un jeune britannique, mineur, soupçonné d’être un membre important de ce groupe.

Lapsus$ est un gang pour le moins atypique. Les plus grands acteurs organisés spécialisés dans l’extorsion recrutent sur des forums spécialisés, le plus souvent russophones, et ne s’expriment publiquement que pour mettre davantage de pression sur leurs victimes. Mais Lapsus$ anime une chaîne Telegram, sur laquelle il annonce, au vu et su de tous, ses piratages, publie des sondages en demandant aux lecteurs quelles données ils aimeraient voir fuiter, et tient même à jour un groupe de discussion chaotique, « Lapsus$ Chat », empli de mèmes, de blagues de mauvais goût et de messages apparemment écrits par des adolescents fascinés par le groupe et l’aspect illicite de ses activités.

Le 11 janvier, Lapsus$ est par exemple soupçonné d’avoir mené une attaque de faible ampleur contre le site de Localiza, un concessionnaire brésilien de voitures de location, redirigeant les visiteurs vers le géant du porno Pornhub.

Des attaques très médiatiques

Ces derniers mois, pourtant, le groupe a revendiqué des actions dont l’ampleur et le prestige contrastent avec le ton décomplexé de sa communication et l’apparente légèreté de ses méthodes. En mars, il a affirmé s’être introduit dans des serveurs appartenant à Microsoft. L’entreprise a déclaré par la suite que seul un compte interne d’employé avait été compromis, très vite repéré, et qu’aucune information sensible n’avait été volée.

Plus tôt dans le mois, ce sont des données provenant du géant coréen de la téléphonie Samsung qui ont commencé à être publiées sur la chaîne Telegram du groupe : l’entreprise a confirmé une intrusion, tout en affirmant que les données des clients et employés n’étaient pas compromises.

Un mois plus tôt, le groupe a publié en partie des informations dérobées à Nvidia, dans une attaque que le constructeur de matériel informatique a relativisé dans la presse. Enfin, Lapsus$ a récemment revendiqué à demi-mot une attaque contre Ubisoft, sans davantage s’exprimer sur le sujet depuis. L’éditeur français de jeux vidéo n’a pas répondu aux sollicitations du Monde et a renvoyé vers un communiqué publié le 10 mars faisant simplement état d’un « incident » informatique.

Ubisoft victime d’un « incident » informatique, un groupe de pirates laisse entendre son implication

Le gang, qui semble vouloir extorquer ses victimes en menaçant de publier des données volées, cherche, pour s’infiltrer dans les réseaux des entités ciblées, à exploiter des failles humaines ou acheter des accès ou des comptes d’employés sur des plates-formes du marché noir, comme Genesis. « On sait qu’ils cherchent des accès VPN [outils qui permettent aux internautes de masquer leur identité en ligne] ou des employés qui sont directement dans les entreprises et qui pourraient leur fournir des accès », souligne Narimane Lavay, experte en analyse de la menace dans l’entreprise spécialisée Sekoia.

Vol de mots de passe

Sur Telegram, le groupe a même lancé des appels à contribution, annonçant publiquement qu’il cherchait à recruter des employés ayant des accès dans de grandes entreprises pour pouvoir utiliser leurs identifiants et s’introduire dans leurs serveurs. Selon un rapport de Microsoft, Lapsus$ s’appuie entre autres sur un logiciel voleur de mots de passes, et fouille également les nombreuses fuites de données qui circulent sur Internet à la recherche d’identifiants à utiliser. L’entreprise ajoute que le groupe a également pu utiliser le SIM Swapping, une méthode qui consiste à détourner le numéro de téléphone d’une personne, afin de réinitialiser des mots de passe par exemple.

Les méthodes du groupe interrogent sur les motivations réelles de ses membres. A l’époque des premières victimes, les négociations « étaient assez étendues dans le temps : il y avait un message d’extorsion, puis un autre quelques jours plus tard (…) et ça pouvait durer des jours, voire plus, souligne Livia Tibirna, experte en analyse de la menace à Sekoia. Dernièrement, il n’y a plus de délai entre l’annonce du piratage et la publication des données. » Une évolution qui laisse penser que les acteurs impliqués cherchent aussi à faire parler d’eux en faisant des « coups » prestigieux.

Tous les experts ayant observé ce groupe s’accordent sur son amateurisme en matière de discrétion et de protection de leur identité. « Contrairement à la plupart des acteurs qui souhaitent rester sous le radar, DEV-0537 [le nom donné au groupe par l’entreprise] ne semble pas maquiller ses traces », souligne Microsoft dans son rapport. Dans son analyse, Sekoia souligne qu’un lien semble exister entre Lapsus$ et « 4c3 », un pirate qui a revendiqué, sur des forums de discussion en juillet 2021, une attaque importante contre le géant du jeu vidéo Electronic Arts. « Souvenez-vous de notre nom. Lapsus$ », écrivait-il notamment. Ce piratage, raconté par le site Vice, correspond aux méthodes attribuées au groupe, utilisant notamment des identifiants achetés sur le marché noir. Comme le souligne Sekoia, une adresse de portefeuille de cryptomonnaies reliée au piratage d’Electronic Arts correspond également à une adresse retrouvée dans d’autres tentatives d’extorsion attribuées au groupe.

EN 2021, à la suite d’une querelle entre Lapsus$ et les propriétaires de Doxbin, le groupe décide de publier un grand nombre d’informations appartenant à ce site utilisé pour fuiter des données personnelles. Or, dans cette masse de données se trouvaient des éléments identifiant un membre présumé de Lapsus$.

De nombreuses erreurs

Surnommé « White », il y est décrit comme un adolescent britannique vivant encore chez ses parents. « 4c3 » et « White » sont possiblement la même personne : selon Sekoia, un certain « doxbinwh1te » a en effet lui aussi revendiqué, sur le forum de pirates Exploit, le piratage d’Electronic Arts, cherchant ainsi à se faire recruter par des groupes cybercriminels. Ce compte a également mentionné plusieurs attaques attribuées à Lapsus$, dont celle d’une entité gouvernementale brésilienne. Un expert, interrogé par le journaliste spécialisé Brian Krebs, conforte la thèse de Vice.

Comment les autorités françaises remontent la trace des attaques par rançongiciels

La police britannique, interrogée jeudi par la BBC, n’a pas précisé si le jeune homme faisait partie des sept personnes interpellées dans le cadre de l’enquête sur Lapsus$. Cependant, les autorités ont bien confirmé avoir identifié « White ». « Nous avions son nom depuis le milieu de l’année dernière », a expliqué une enquêtrice à la BBC, soulignant que le jeune homme avait commis de nombreuses erreurs compromettant son identité.

De nombreuses questions entourant Lapsus$ restent cependant en suspens. Plusieurs éléments laissaient penser que le groupe opère en partie depuis l’Amérique latine, en raison aussi bien des premières victimes que de la langue utilisée par le groupe. « Sur leur canal Telegram, ils ont commencé par communiquer en portugais » en plus de l’anglais, souligne Narimane Lavay. L’identité des autres membres du groupe reste également inconnue, tout comme son avenir, alors que la pression judiciaire s’accroît. Mercredi, sur son canal Telegram, Lapsus$ a annoncé que certains de ses membres prenaient des « vacances » : « Nous risquons d’être discrets pendant un certain temps. »

Publicité
Publicité

Plus d'infos : Le Monde

Publicité
image beaconimage beaconimage beacon