Nvidia, Samsung et Microsoft : qui est Lapsus$, le groupe de hackers qui fait trembler les géants de la tech

Début mars, Nvidia expliquait avoir subi une cyberattaque d’ampleur. Il y a eu 1 To de données volées, y compris une importante quantité d’informations sensibles sur les conceptions des cartes graphiques Nvidia, le code source d’un système du système DLSS, et les noms d’utilisateur et mots de passe de plus de 71 000 salariés de Nvidia. Puis c’était au tour de Samsung. On parle ici de 190 Go de données, y compris le code source du bootloader et les algorithmes du système d’authentification biométrique de la gamme de smartphones Galaxy. Quelques jours après, Ubisoft a rejoint la mêlée.

Désormais, c’est Microsoft qui a fait les frais. Derrière ces cyberattaques : un groupe de hackers que l’on nomme Lapsus$.

Lapsus$ aurait volé 250 projets à Microsoft

À chaque fois, c’est le même mode opératoire : en échange de leur non-divulgation, Lapsus$ exige de l’argent ou des éléments spécifiques. Pour Nvidia, par exemple, ils ont exigé que le groupe américain désactive les systèmes qui brident les cartes graphiques en limitant leurs performances pour le minage de cryptomonnaies. Ils ont également exigé que Nvidia passe leurs pilotes en open source.

Pour Microsoft, cette fois, Lapsus$ prétend avoir volé, non seulement, le code source du moteur de recherche Bing, mais aussi celui de son système de cartographie et de l’assistant Cortana. On parle ici de 90 % du code de Bing Maps, ou encore 45 % du code de Cortana et Bing.

Le groupe de pirates a commencé par publier une capture d’écran des fichiers, le week-end dernier, puis a partagé une archive au format 7-zip contenant tous les fichiers. Le fichier compressé ne fait que 9 Go, mais une fois décompressé, il fait 37 Go de code source pour plus de 250 projets Microsoft. Microsoft n’a pas encore confirmé si la fuite de données contient des données sensibles pour Bing et d’autres services, mais le groupe américain a confirmé avoir lancé une enquête sur les allégations.  La firme de Redmond n’est pas la seule entreprise visée actuellement, LG et Okta ont également été touchés.

Qui est derrière Lapsus$ ?

Lapsus$ est un nouveau venu. Ses premières campagnes de cyberattaques visaient des entreprises brésiliennes et portugaises fin 2021, à commencer par le ministère brésilien de la Santé, le média Impresa et les opérateurs sud-américains Claro et Embratel. Ce groupe affirme n’être motivé que par l’argent, néanmoins leurs objectifs semblent plus larges. Ils ont élargi leurs ambitions en s’attaquant à de grands groupes internationaux. Lapsus$ semble être un collectif, plutôt qu’un groupe discipliné, basé en Amérique du Sud avec quelques membres en Europe et en Asie.

Le groupe Lapsus$ présente de nombreuses particularités. Tout d’abord, s’il lui arrive de déployer un ransomware dans le cadre de ses attaques, cela n’a rien de systématique : il se contente parfois de voler des données à sa victime et de menacer de les vendre ou de les divulguer… si aucun « accord » financier n’est trouvé. Pour initier ses cyberattaques, Lapsus$ vise essentiellement les salariés internes des entreprises, en essayant de pirater leurs systèmes d’accès. Il est également possible qu’ils utilisent Okta, une plate-forme de gestion d’identité que Lapsus$ prétend avoir piratée.

Ce qui rend Lapsus$ unique parmi les groupes de hackers, c’est leur utilisation de Telegram pour établir une présence sur les réseaux sociaux et se donner une voix publique. Le groupe de hackers semble chercher de la notoriété au travers de ces diverses cyberattaques. Au lieu de mener des attaques de ransomware, Lapsus$ menace plutôt de divulguer les informations volées contre de l’argent. Il ne semble pas y avoir de volonté politique, contrairement au groupe Anonymous.

En attendant, la question est de savoir qui sera la prochaine entreprise dans le collimateur de Lapsus$ ?