On croyait le groupe Lapsus$ mis hors jeu après les arrestations en mars 2022 de sept jeunes hommes de 16 à 21 ans par la police britannique. Pourtant, le gang de pirates vient de refaire parler de lui il y a quelques semaines à travers deux attaques informatiques spectaculaires menées par le mystérieux “Teapot”. La première visite le géant de la mobilité Uber, la seconde les studios de jeux vidéo Rockstar Games.
Mais il n’a pas fallu beaucoup de temps pour avoir un suspect pour ces deux piratage. Uber, dont la sécurité informatique a été tournée en ridicule, un Lapus$ très rapidement suspecté. “Ce groupe utilise généralement des techniques similaires pour cibler les entreprises technologiques”observait la société à proposer l’ingénierie sociale déployée pour réussir les intrusions.
https://twitter.com/CityPolice/status/1573553836802936833
Même s’il n’y a pas eu de confirmation officielle d’un lien avec ces deux attaques informatiques, l’arrestation d’un jeune cybercriminel quelques jours plus tard par la police londonienne a suscité d’intenses spéculations. Certes, on ne sait presque rien de l’identité de cet adolescent de 17 ans vivant près d’Oxford, ni des piratage qu’on lui reproche. L’affaire sera jugée le 24 octobre. Mais selon le fondateur d’un célèbre forum de fuites de données, il s’agirait tout bonnement de la figure principale du groupe Lapsus$, une hypothèse jugée crédible par des experts de la sécurité informatique.
Génie de l’informatique ou commode porte-parole ?
Surnommé “White” ou “Breachcase”, cet adolescent est soupçonné d’être le cerveau des piratage menés par le groupe Lapsus$. “Il est si doué que les chercheurs avaient d’abord pensé que l’activité était automatisée”, rapportait l’agence de presse Bloomberg. Un portrait correspondant au stéréotype du petit génie de l’informatique à nuancer. Le jeune pirate pourrait également être simplement la figure de proue d’un groupe de hackers malveillants préférant rester en retrait.
L’adolescent, originaire d’Albanie, a d’ailleurs été victime d’une divulgation de son identité en ligne. Sa famille avait de son côté désigné son désarroi à la BBC, expliquant vouloir éloigner des ordinateurs leur enfant autiste qui aurait réussi en quelques mois à amasser frauduleusement environ 14 millions d’euros. Il aurait également, suspecté la société française Sekoia, cherché en vain à être recruté par deux groupes de rançongiciel.
Ingénierie sociale
Quelques soient les responsabilités du jeune homme, la trajectoire du groupe Lapsus$ n’en reste pas moins particulièrement impressionnante. Le groupe, assimilé d’abord à des pirates d’Amérique du sud et de Grande-Bretagne, se signale d’abord sur le web au cours de l’été 2021. Puis en quelques mois, à partir de décembre 2021, le gang accroche à son tableau de chasse des victimes d’envergure.
Après le ministère de la Santé brésilien, il s’en prend à d’autres administrations de ce pays. Et quelques semaines plus tard, le groupe s’attaque cette fois-ci au spécialiste des cartes graphiques Nvidia, au conglomérat Samsung, à l’éditeur de logiciels Microsoft ou encore à la société de services d’authentification Okta.
Des attaques partagées presque en temps réel sur ses deux canaux Telegram à forte audience, utilisées pour révéler ses faits d’armes réels ou supposés, faire fuiter des données ou encore lancer des sondages pour déterminer sa prochaine cible. « Ils vont jusqu’à annoncer leurs attaques sur les réseaux sociaux ou leur intention d’acheter des identifiants à des employés d’organisations cibles », soulignait Microsoft, étonné, dans un rapport.
Autant de piratage fortement médiatisé basé notamment sur des techniques d’ingénierie sociale, que ce soit des usurpations d’identité ou des pots de vin. Ainsi, lors du piratage d’Uber, le pirate a, après avoir acquis une fine connaissance de l’organisation de la structure visée, spammé un employé. Submergé de très nombreuses demandes d’authentification à double facteur, dont l’authenticité était validée par une personne se faisant passer pour le service informatique, le salarié a fini par céder de guerre lasse au milieu de la nuit, ouvrant la porte de son entreprise à l’attaquant.
Accès “très facile” aux ressources
Reste que ces attaques audacieuses semblent plus opportunistes que réellement ciblées. “Il y a beaucoup d’échanges sur la façon de mener une cyberattaque dans les communautés de cybercriminels, observe Livia Tibirna, analyste chez Sekoia. Il y a un accès très facile à la formation ou aux ressources, comme par exemple ces bases de données vendues à des prix infimes qui peuvent permettre une attaque. Et il n’y a pas besoin de beaucoup investir pour avoir un retour important sur investissement.”
Revers de cette activité intense, les pirates de Lapsus$ sont d’ailleurs très brouillons. Comme le remarque Microsoft dans son rapport, les pirates malveillants ne semblent pas soucieux de couvrir leurs traces. La figure de proue du gang a ainsi laissé fuir des infos compromettantes en divulguant la base de données d’un site web après un litige. Au point que des analystes se demandaient si, plus que l’argent, ces pirates informatiques immatures étaient tout simplement d’abord à la recherche d’adrénaline.
Un jeu extrêmement dangereux pour leurs auteurs, qui pourrait faire des émules. Même arrêtés, il est fort probable que les techniques de Lapsus$ inspirent d’autres groupes de cybercriminels. Tandis que l’affaire a des airs de constat d’échec pour l’industrie de la technologie. Quarante et après le film Wargames, qui a popularisé le cliché du pirate adolescent surdoué, elle reste toujours très vulnérable face aux pirates, y compris donc les plus jeunes.