Lapsus$ : les ados hackers qui défient les géants de la tech

Que sait-on du groupe de hackers Lapsus$ ?

Le collectif de hackers Lapsus$ émerge en 2021. Leur petite particularité : ils seraient composés en majorité d’adolescents originaires d’Amérique du Sud et de Grande-Bretagne.

En ciblant surtout des géants de la tech et des institutions publiques avec leurs cyberattaques, Lapsus$ se fait rapidement remarquer. Fait étonnant pour des hackers : Lapsus$ ne cherche pas à rester dans l’ombre. Ses membres partagent leurs exploits sur Telegram, ce qui leur permet d’accroître leur notoriété en se faisant connaître du grand public, mais surtout, de créer une communauté de « fans » prêts à les aider pour leurs futures attaques.

Qui sont les membres de Lapsus$ ?

Les membres de Lapsus$ ont un profil atypique, et pour cause : ce sont en majorité des adolescents âgés de 16 à 21 ans. Bien que doués pour leur âge, cela s’en ressent dans leurs méthodes. Ils n’utilisent pas ou peu de malwares et basent surtout leurs tactiques sur l’ingénierie sociale. Mais surtout : ils ne prennent que peu de précautions pour effacer leurs traces.

En 2022, ce manque de vigilance a d’ailleurs permis l’arrestation de plusieurs personnes suspectées d’être membres du groupe. Parmi eux, un hacker connu sous les pseudos de « White » et « Breachbase » et qui serait le cerveau de Lapsus$.

Quelles sont les motivations des cybercriminels de Lapsus$ ?

Contrairement aux groupes de hackers traditionnels qui sont surtout motivés par l’argent, Lapsus$ semble avant tout être en quête de notoriété. En s’attaquant à de gros groupes ou à des institutions, ils attirent ainsi plus facilement l’attention des médias. Ils partagent également leurs exploits sur Telegram à leurs quelque 50 000 abonnés.

Mais si Lapsus$ ne cherche pas à rester dans l’ombre, ils en profitent également pour engranger quelques profits. S’ils n’utilisent pas de ransomware, ils extorquent tout de même leurs victimes en les menaçant de dévoiler les données sensibles volées lors de leurs attaques.

Quels sont les modes opératoires des hackers Lapsus$ ?

Techniques de piratage

Lapsus$ utilise plusieurs leviers de l’ingénierie sociale pour infiltrer ses victimes :

• Infiltration via des employés corrompus, dont la coopération a été achetée via des annonces en ligne. Ces insiders permettent par exemple l’installation de logiciels d’accès à distance.
• Achat de données volées, dont des jetons d’identification, qui permettent aux pirates de contourner certains systèmes de sécurité et d’authentification.
• Sim swaping, technique consistant à prendre le contrôle d’un numéro de téléphone pour par exemple recevoir les codes de sécurité envoyés par SMS.
• Attaques par fatigue de l’authentification multifactorielle : les pirates harcèlent les utilisateurs de notifications de demande d’authentification multifactorielle, espérant les faire céder ou compromettre leur vigilance pour leur faire approuver une demande d’authentification.

Une fois infiltrés, les membres de Lapsus$ créent des comptes administrateurs qu’eux seuls peuvent utiliser, et suppriment les comptes existants. Ils verrouillent ainsi l’accès des organisations à leurs propres systèmes, ce qui leur permet de bénéficier d’un contrôle total sur les ressources de leurs victimes.

Demandes de rançons et divulgation de données

L’une des particularités de Lapsus$ est qu’ils n’utilisent pas de rançongiciel pour faire chanter leurs victimes. En s’infiltrant dans leurs systèmes, ils se contentent de voler des données sensibles qui servent ensuite de base à leur chantage. Si aucune rançon n’est versée, ils menacent de les divulguer. Pour faire monter encore un peu plus la pression, les pirates n’hésitent pas à partager des preuves de leur intrusion telles que des captures d’écran sur Telegram.

Lapsus$ aime également faire participer sa communauté à ce chantage. Il n’est ainsi pas rare que le groupe propose des sondages via Telegram pour que ses abonnés puissent décider des premières informations à dévoiler.

Quels géants de la tech ont été attaqués par Lapsus$ ?

Okta

En janvier 2022, Okta, une entreprise spécialisée dans la gestion des identités et des accès, est attaquée. Lapsus$ accède à ses serveurs de gestion des identités grâce au compte compromis d’un de ses ingénieurs.

Okta reconnaît la violation le 25 janvier, tout en précisant qu’au cours des cinq jours d’intrusion, seuls 2,5 % de leurs clients auraient été impactés (Lapsus$ clame de son côté pouvoir réinitialiser les mots de passe de 95 % des clients de la société).

NVIDIA

En février 2022, Lapsus$ attaque le fabricant de processeurs graphiques NVIDIA et vole 1 To de données. Les hackers parviennent à mettre la main sur des certificats de signature numérique qu’ils ont utilisés pour signer des logiciels malveillants. Résultat : ces programmes passent pour légitimes et peuvent déjouer certains systèmes de sécurité.

Quelques jours plus tard, Lapsus$ a partagé les informations d’identification de près de 71 000 employés de NVDIA.

Microsoft

En mars 2022, Lapsus$ réussit à voler 37 Go de données de ce géant de la tech. Microsoft parvient à contenir l’attaque rapidement, mais le mal est fait : les pirates ont eu le temps d’accéder au code source de Bing et de Cortana et l’ont partagé sur leur canal Telegram.

Samsung

Toujours en mars 2022, Lapsus$ s’en prend à Samsung. Le groupe réussit à voler près de 190 Go de données, parmi lesquelles figure une partie du code source de la suite Galaxy. Élément inquiétant, les pirates ont réussi à mettre la main sur des informations relatives à la sécurité des mobiles de la marque, ce qui pourrait permettre d’identifier puis d’exploiter des vulnérabilités. 

Samsung a confirmé cette fuite, précisant cependant que les informations personnelles de ses clients n’avaient pas été compromises.

Pourquoi le groupe de hackers Lapsus$ est-il unique ?

Lapsus$ est unique de par le profil de ses membres. Si la majorité des groupes de hackers sont composés de cybercriminels chevronnés, Lapsus$ réunit essentiellement des adolescents. Mais leur jeune âge ne les empêche pas de représenter une menace de cybersécurité d’ampleur.

Un groupe de hackers d'adolescents particulièrement dangereux

Malgré le manque d’expérience inhérent à leur jeunesse, les membres de Lapsus$ ont réussi à s’en prendre à des géants de la tech et à des institutions gouvernementales. Ces adolescents ne sont donc pas à sous-estimer.

Leur dangerosité réside dans leurs approches imprévisibles et leur attrait pour la provocation. Mais surtout, le groupe n’hésite pas à se vanter de ses exploits en public. Or, les entreprises renommées, et même parfois cotées en bourse. Une attaque, surtout si elle est médiatisée, pourrait donc avoir des conséquences financières désastreuses.

Communication ostentatoire sur Telegram des jeunes hackers de Lapsus$ 

Contrairement à la majorité des groupes de cybercriminels qui préfèrent opérer dans l’ombre, Lapsus$ partage une grande partie de son activité sur ses canaux Telegram. Leurs chaînes, suivies par près de 50 000 abonnés, leur servent à se vanter des attaques qu’ils ont mené à bien et à partager certaines des informations volées.

Mais les membres du groupe vont plus loin que ça. Telegram leur permet d’inclure leurs abonnés dans leurs attaques. S’ils le souhaitent, ils peuvent alors voter pour les prochaines données à être divulguées, voire même aider le groupe à sélectionner ses prochaines victimes.

Cette approche peu conventionnelle attire rapidement l’attention des médias, poussant ces jeunes pirates en quête de reconnaissance à poursuivre et à amplifier leurs méfaits.

Conclusion : les membres de Lapsus$ ont-ils été arrêtés ?

En 2022, plusieurs membres présumés de Lapsus$ ont été arrêtés, sept au Royaume-Uni, et un au Brésil. Deux d’entre eux ont ensuite été condamnés par la justice britannique, dont Arion Kurtaj, alias « White » ou « Breachbase », soupçonné d’être le cerveau du groupe. Atteint d’autisme sévère et en raison du risque de récidive, Kurtaj a été condamné à l’hospitalisation dans un hôpital psychiatrique sécurisé ; il ne pourra en sortir que si les médecins l’estiment apte à réintégrer la société.

Suite à ces arrestations, les activités de Lapsus$ ont cessé en septembre 2022. Il est probable que les membres toujours en liberté aient rejoint d’autres collectifs de hackers.

Questions fréquentes à propos du groupe de hackers Lapsus$

Quelles ont été les conséquences des attaques de Lapsus$ ?

Les attaques de Lapsus$ ont fait pâtir la réputation de leurs victimes. De plus, leurs vols massifs de données a compromis certains systèmes. En résulte des pertes financières parfois conséquentes, liées à la remise en état de ces systèmes, mais aussi à la perte de confiance.

Comment se protéger des attaques de Lapsus$ ?

L’authentification multi-facteurs constitue un bon point de départ pour vous protéger des attaques de Lapsus$. Il est ensuite recommandé de limiter les accès privilégiés et de surveiller de près les activités internes et les systèmes d’accès à distance pour détecter toute activité anormale. Mais ces mesures pourront rester insuffisantes si vous ne sensibilisez pas vos employés à l’ingénierie sociale. Notre formation cyber pour débutants vous permet justement de les former efficacement aux bonnes pratiques de la cybersécurité pour les rendre plus vigilants, et tout ça, en seulement deux semaines !

Qui est Arion Kurtaj ?

​​Arion Kurtaj est un des membres de Lapsus$ qui a été arrêté en 2022. Alors qu’il est sous surveillance policière, assigné à résidence dans une chambre d’hôtel et qu’il a interdiction d’utiliser un ordinateur, il parvient à pirater Rockstar Games. Il utilise pour cela sa télévision, son téléphone portable, un clavier et une télécommande Amazon Fire Stick. Il fait alors fuiter 90 clips de GTA VI qui n’est alors pas encore sorti, engendrant près de 5 millions de dollars de pertes pour l’éditeur du jeu. Il est ensuite arrêté, jugé et condamné à l’hospitalisation en unité psychiatrique sécurisée pour une durée indéterminée.