Depuis un an, le groupe de pirates Lapsus$ fait trembler les géants du numérique. D'attaques spectaculaires en vols de données massifs, l'entité criminelle enchaîne les faits d'armes rocambolesques. Leurs dernières victimes en date ne sont autres que Uber et Rockstar, les créateurs du jeu GTA.
Après Nvidia, Samsung et Ubisoft, entre décembre et mars dernier, le groupe de pirates Lapsus$ a fait deux nouvelles victimes auprès des géants de la tech, Uber, l'incontournable entreprise de VTC et Rockstar, l'éditeur star de jeux vidéo, créateur notamment de GTA. Cette association de malfaiteurs 2.0 a réalisé ses premiers faits d'armes dans les pays d'Amérique latine en attaquant notamment le ministère brésilien de la Santé. En début d'année, ce sont des proies bien plus importantes, comme Nvidia ou Samsung, que le cartel de hackeurs a mis dans sa vitrine de trophées. Lapsus$ a récupéré chez le spécialiste de la carte graphique plus d'un téraoctet de données, dont les plans de conception des processeurs ainsi que les données personnelles de plus de 70 000 employés du groupe. La razzia a été encore plus impressionnante chez le fabricant de smartphone coréen puisque ce sont les secrets du logiciel de sécurité Knox, le fonctionnement de l'authentification biométrique et du coffre-fort cryptographique maison, qui ont été dérobés.
Puissance de frappe
Trois caractéristiques du groupe Lapsus$ inquiètent particulièrement les acteurs de la tech. Premièrement, Lapsus$ est sans foi ni loi. Tout ce qui intéresse ce groupe de pirates, c'est l'argent. Sur le canal Telegram qu'ils utilisent pour mettre au vote la prochaine cible de leur attaque, leur message est clair : « notre seul objectif est l'argent, nos raisons ne sont pas politiques ». Personne n'est à l'abri. D'autre part, Lapsus$ aime la lumière. Contrairement aux hackeurs traditionnels qui vénèrent l'anonymat, le groupe jouit d'une forte exposition sur les réseaux sociaux qui lui confère une aura puissante, lui permettant d'enrôler sous sa bannière les meilleurs hackeurs de la planète. Enfin, Lapsus$ fait preuve d'un savoir-faire et d'une capacité de nuisance inédits. Leurs méthodes leur sont propres. Le groupe, par exemple, n'a pas recours aux très utilisés ramsomwares, qui bloquent les données d'un ordinateur et menace de les détruire si une rançon n'est pas payée. Les codeurs malveillants se concentrent sur le vol de données et l'extorsion qu'ils parviennent à mener à bien en infiltrant échelon après échelon les différentes strates d'une entreprise. Ils sont particulièrement doués pour détecter les faiblesses d'une politique de sécurité, via du phishing ou de l'infiltration sur des téléphones portables, et pour remonter patiemment la chaîne jusqu'aux données sensibles.
Uber et Rockstar victimes
Pour Uber, par exemple, qui vient d'annoncer avoir été victime de Lapsus$, la faiblesse résidait dans la détention par un sous-traitant externe de la société de VTC d'un accès sensible. « Il est probable que l'attaquant ait acheté le mot de passe Uber du contractant sur le dark web », a expliqué le géant américain dans un communiqué le lendemain de l'attaque. C'est du piratage « à l'ancienne », toujours très efficace. Uber a assuré que les données récoltées cette fois-ci n'étaient pas sensibles. Au contraire, l'extorsion dont a été victime Rockstar quelques jours plus tôt a porté un coup violent à l'éditeur de jeu vidéo. Par un procédé quasiment identique, selon Uber, un pirate apparenté à Lapsus$ est parvenu à corrompre le Slack (un logiciel de travail collaboratif professionnel) et à faire main basse sur des dizaines de vidéos du prochain GTA VI ainsi que sur le code source complet de GTA V, le jeu vidéo le plus vendu au monde. Toutes ces données ont fuité rapidement sur le Net. En avril dernier, la police britannique avait multiplié les interpellations, débouchant sur la mise en accusation de deux hackeurs, tous deux adolescents, et mettant un coup d'arrêt aux activités de Lapsus$. Force est de constater que le groupe a retrouvé son pouvoir de nuisance.