Sur Telegram, dans la matinée du 20 mars, le groupe Lapsus$ a revendiqué le vol de données internes de Microsoft à l’aide d’une impression écran. Supprimée, elle a été remplacée par un fichier le 21 mars. Selon BleepingComputer, les informations contenues dans le dossier semblent bien provenir du géant américain.

Microsoft admet seulement enquêter sur le problème

Au total, 37Gb de fichiers portant sur 250 projets ont été publiés. À en croire le groupe de pirate, il détient 90% du code source du moteur de recherche Bing, de 45% de celui de Bing Maps et de Cortana. Windows ou Office ont l’air épargnés.

screenshot du Telegram du groupe de hacker lapsus$

Source : Telegram

Des chercheurs en cybersécurité, consultés par Bleeping Computer, estiment le fichier authentique. Ils rapportent avoir trouvé, pour certains projets, des mails et de la documentation internes aux ingénieurs de Microsoft. La fuite pourrait provenir du serveur interne Azure DevOps de l’entreprise.

Pour le moment, Microsoft a seulement déclaré « Nous sommes au courant des revendications et nous enquêtons ». Sur le compte Telegram de Lapsus$, aucune demande de rançon ou revendication quelconque n’a été formulée.

Le groupe, connu depuis fin 2021, s’est montré particulièrement actif. Il a récupéré des données, manifestement légitimes, de Nvidia, Samsung et Ubisoft ont également été affectés. Ils utilisent ensuite ces informations, souvent confidentielles, pour forcer la victime à payer une rançon pour ne pas les diffuser. Lapsus$ avait exigé que Nvidia débride ses cartes graphiques pour le minage de cryptomonnaie.

Dans la foulée de la divulgation des documents de Microsoft, le 22 mars, Lapsus$ a révélé une nouvelle fuite touchant cette fois Okta. Okta est une plateforme d’authentification et de gestion des identités utilisées par 15 000 clients à travers le monde pour sécuriser l’accès à leurs réseaux. Bill Demirkapi, chercheur indépendant en cybersécurité, a confié à Reuters que les documents publiés sont crédibles.

L’ampleur de la faille reste inconnue, mais l’attaque pourrait servir de tremplin vers d’autres. L’un des responsables de la sécurité d’Okta, Chris Hollis, a assuré enquêter sur cette intrusion. Il estime que les documents ont été dérobés lors d’un événement de cybersécurité survenu en janvier et réglé depuis, « Sur la base de notre enquête à ce jour, il n'y a aucune preuve d'activité malveillante en cours au-delà de l'activité détectée en janvier ».

Lapsus$ à l’origine d’une offre d’emploi pas comme les autres

Les tactiques de Lapsus$ pour voler des documents aussi sensibles à des entreprises aussi importantes, restent inconnues à ce jour. Néanmoins, le 10 mars, le groupe a profité de son succès sur Telegram, 33 000 abonnés, pour publier une offre, estampillé @lapsusjobs, pour le moins gonflée : proposer aux employés de grandes entreprises (Microsoft, Apple, EA, AT & T, sont cités) une rémunération contre des accès internes.

screenshot du Telegram du groupe de hacker lapsus$

Une offre d'emploi pas comme les autres... Source : Telegram

Difficile d’établir si c’est ainsi que Lapsus$ procède pour mettre dans l’embarras ces grandes entreprises ou s’il use de moyen plus classique, type rançongiciel. Une certitude, en quelques mois seulement, le groupe est parvenu à se bâtir une solide réputation qui lui permet de fanfaronner.