Après la fuite de données du futur jeu GTA VI, tous les yeux sont braqués vers ce groupe, qui affiche déjà un sérieux tableau de chasse.
Lapsus$ revient d’entre les morts. Le groupe de pirates, décapité à Londres au printemps dernier après une série d’arrestations, refait parler de lui. En l’espace de quelques jours, deux entreprises technologiques de premier plan ont fait face à des cyberattaques massives.
La première est Uber. En passant par le compte d’un chauffeur, un assaillant est parvenu à obtenir des autorisations sur plusieurs outils internes du groupe, notamment la plateforme d’échanges Slack. L’intrusion, aussi spectaculaire soit-elle, s’est en revanche avérée limitée, selon le géant du VTC.
“Nous avons examiné notre base de code et n’avons pas constaté que l’attaquant avait apporté des modifications. Nous n’avons pas non plus constaté que l’attaquant a accédé à des données client” assure Uber dans un communiqué.
Dimanche, c’est le studio Rockstar qui a fait face à une fuite massive d’un des jeux vidéo les plus attendus: GTA VI. L’entreprise a d’ailleurs confirmé ce piratage le lendemain.
Des ados vantards
Quel rapport entre ces deux attaques? Les yeux se tournent vers le groupe Lapsus$, qui a fait parler de lui l’année dernière après une série de coups portés à des multinationales comme Nvidia ou Microsoft.
Uber ne s’en cache pas: “Nous pensons que cet attaquant (ou ces attaquants) est affilié à un groupe de piratage appelé Lapsus$ qui a été de plus en plus actif au cours de la dernière année” affirme l’entreprise.
Et vend la mèche pour Rockstar. “Il y a également eu des rapports au cours du week-end selon lesquels ce même acteur a attaqué le fabricant de jeux vidéo Rockstar Games. Nous sommes en étroite coordination avec le FBI et le ministère américain de la Justice sur cette question et continuerons à soutenir leurs efforts.” De son côté, Rockstar Games n’a pas encore confirmé ces soupçons.
Le collectif semblait pourtant disparu après une série d’arrestations aux Royaume-Uni au printemps dernier. Le 24 mars, sept adolescents sont arrêtés. Le profil du groupe tranche dans le petit monde de la cybercriminalité. Pas de discrets russophones mais des jeunes garçons qui se vantent de leurs exploits sur une chaîne Telegram à plusieurs dizaines de milliers d’abonnés. Les pirates proposent même des sondages pour connaître leurs prochaines victimes et publient de “annonces” de recrutement pour développer des complicités internes dans les groupes visés.
Leurs premiers coups de force visent des entreprises publiques brésiliennes au début de l’année 2022. Vols de données, attaques par déni de services… Lapsus$ s’amuse aussi à renvoyer le site de Localiza, un des plus gros loueurs de voitures au monde, vers la page d’accueil de Pornhub…
Rapidement, leurs attaques prennent de l’ampleur. Nvidia en février, Samsung puis Microsoft en mars… Dans ce dernier cas, Lapsus$ aurait récupéré une partie des codes source du moteur de recherche Bing et de l’assistant vocal Cortana. Ubisoft ou Electronic Arts auraient aussi été touchés l’année précédente.
Sauf que les membres ne brillent pas autant pour se protéger eux-mêmes. Tout se débloque en fait par le biais de Doxbin, un site qui accumule les données tant sur les victimes de piratages que sur les agresseurs. En janvier dernier, alors que le groupe multiplie les attaques, son leader supposé publie par mégarde sa propre identité sur Doxbin, après une dispute avec les propriétaires du site. Surnommé “White”, le pirate s’avère être “un garçon de 16 ans originaire d’Albanie, vivant avec sa mère au Royaume-Uni”, raconte la société de protection informatique Sekoia, qui a remonté le fil de la pelote.
Un seul et même suspect
La police britannique n’a pas précisé si le jeune homme faisait partie des sept interpellés du 24 mars dernier mais le père du garçon, interrogé par la BBC, avait assuré vouloir l’éloigner des ordinateurs. Les suspects, âgés de 16 à 21 ans, avait été remis en liberté sous contrôle judiciaire.
Alors le petit groupe en a-t-il profité pour reprendre du service et s’attaquer, coup sur coup, à Uber puis Rockstar? Le nom du groupe est réapparu en août après une attaque contre Cisco dont l’instigateur aurait eu des liens avec Lapsus$.
Concernant Uber et Rockstar, un jeune homme baptisé “TeaPots” a ainsi revendiqué les deux attaques, bien qu’il soit encore difficile de confirmer que la même personne soit à l’origine des deux piratages. Si l’implication de Lapsus$ reste donc à prouver, une certitude: le modus operandi ressemble effectivement à celui du groupe décimé.