Depuis décembre, un groupe de pirates multiplie les attaques spectaculaires et met en difficulté de grandes enseignes comme Nvidia, Samsung ou Ubisoft. Leurs méthodes inhabituelles, leur utilisation particulière des réseaux sociaux, leurs demandes extravagantes ainsi que leur force de frappe croissante font souffler un vent de panique et sèment le chaos.
Alors que les regards des experts en sécurité informatique sont naturellement braqués sur la guerre en Ukraine et les cyberattaques qui ouvrent un front d'une ampleur inédite, une autre menace plane sur le monde numérique. Depuis décembre, un nouveau groupe de hackers, qui se fait appeler Lapsus$, multiplie les faits d'armes et inquiète jusqu'aux plus grands acteurs de la tech. À l'origine, cette association de malfaiteurs 2.0 s'est fait connaître dans les pays lusophones, avec des attaques ciblées sur des entreprises brésiliennes. Entre décembre et janvier, le groupe est parvenu à pirater et a tenté d'extorquer le ministère brésilien de la Santé, puis le géant portugais des médias Impressa, avant de s'attaquer, toujours avec succès, aux sociétés de télécommunications sud-américaines Claro et Embratel, ainsi qu'à l'entreprise brésilienne de location de voitures Localiza. Ces raids s'accompagnent souvent d'attaques par déni de service, ou Ddos. Il s'agit d'une technique particulière de coercition : des dizaines de milliers de requêtes sont envoyées par des armées d'ordinateurs contrôlés par les hackeurs
à un serveur cible qui voit alors sa bande passante exploser et ses ressources mémoires réduites à néant. Les clients d'une entreprise visée ne peuvent alors plus avoir accès à ses services. Dans le cas de l'agence de location de voiture Localiza, le site de la firme brésilienne renvoyait ses visiteurs à une plateforme pour adultes. Les dégâts sont toujours colossaux.
Sans foi ni loi
Lapsus$ n'est pas un groupe de pirates comme un autre. Contrairement aux pratiques les plus répandues actuellement, il n'utilise pas de logiciels malveillants, comme les ransomwares, et se concentre uniquement sur le vol de données et l'extorsion, rendant l'entreprise plus complexe mais aussi plus difficile à déceler. L'autre particularité du groupe est sa forte présence sur les réseaux sociaux et sur Telegram. Alors que la plupart des hackers conventionnels détestent la publicité et restent le plus discrets possible, les membres de Lapsus$ aiment faire parler d'eux. C'est sur cette célèbre application de messagerie cryptée que Lapsus$ lance des sondages servant à faire désigner, par leur communauté, leurs futures cibles. Ils profitent également de leur canal Telegram pour révéler leurs motivations. Et elles sont limpides : « notre seul objectif est l'argent, nos raisons ne sont pas politiques », écrivaient-ils en décembre. Leur utilisation des supports de communication actuels fait penser à celles utilisées par le groupe Anonymous, quant à lui très politisé.
Des cibles de plus en plus importantes
Au fur et à mesure que les hackers ont gagné en confiance, les attaques ont pris de l'ampleur. Faisant preuve d'un niveau de compétence inquiétant, Lapsus$ s'en est pris, au cours des dernières semaines, aux plateformes de commerce électronique argentines MercadoLibre et MercadoPago, en affirmant avoir corrompu le réseau de télécommunications britannique Vodafone et revendiquant de lourdes prises de guerre chez Samsung et Nvidia. L'attaque sur le géant de la carte graphique s'est soldée par la récupération de plus d'un téraoctet de données, dont les plans de conceptions des GPU, le code source du système maison DLSS (rendu graphique boosté à l'IA) ainsi que les noms d'utilisateur et mots de passe de plus de 71 000 employés du groupe. Lapsus$ a menacé de divulguer d'autres données si Nvidia ne répondait pas à une série de demandes, plutôt inhabituelles, comme la suppression des cartes graphiques d'une fonction anti-mineur de cryptomonnaies, mettant une nouvelle fois en évidence le lien entre cybercriminalité et cryptomonnaies. Le butin est encore plus important chez Samsung : 190 gigaoctets de données, dont les entrailles du logiciel de sécurité Knox, le fonctionnement de l'authentification biométrique et du coffre-fort cryptographique maison. Pour mesurer la gravité d'un tel braquage, il convient de rappeler que Samsung représente actuellement 19 % du nombre mondial de smartphones vendus. Ubisoft vient également d'être pris pour cible, sans que l'on sache encore quelles données ont été pillées. À chaque fois, les pertes se comptent en centaines de millions de dollars. La puissance de frappe et le caractère insaisissable des attaques de Lapsus$ inquiètent tous les géants de la tech qui se demandent qui d'entre eux sera la prochaine victime.
