On a peine à le croire, pourtant, d’après Bloomberg, plusieurs experts en cybersécurité estiment qu’un adolescent de 16 ans, vivant chez sa mère, près d’Oxford, pourrait être l’un des cerveaux du groupe Lapsus$. Apparue fin 2021, la liste de ses victimes donne le tournis : Nvidia, Samsung, Vodaphone, Ubisoft, Microsoft

Lapsus$ est doué, mais laisse des traces

« Certains de nos membres sont en vacances jusqu’au 30 mars. Nous allons être plus calmes quelque temps. Merci de votre compréhension - nous essaierons de divulguer des choses dès que possible ». Ce message est le dernier envoyé aux 50 000 abonnés du compte Telegram de Lapsus$, le 23 mars.

screenshot du Telegram du groupe de hacker lapsus$

Le repos des braves. Source : Telegram

La veille, le groupe révélait un nouveau piratage aux conséquences potentiellement désastreuses : celui de la plateforme d’authentification et de gestion d’identités Okta. Après de pareils faits d’armes, quelques jours de repos semblent bien mérités.

Cette période d’inactivité pourrait-elle cacher autre chose ? Tel que l’identification de certains des membres du groupe ? Microsoft, a publié une note sur le groupe, nommé pour l’occasion DEV-0537, qui le laisse entendre, « Contrairement à la plupart des groupes d'activité qui restent sous le radar, DEV-0537 ne semble pas couvrir ses traces ».

Cette incapacité à se cacher aurait permis à des experts en cybersécurité de remonter en partie la trace du groupe. Selon eux, sept comptes uniques peuvent être associés à Lapsus$. Deux personnes, liées à certaines attaques, ressortent de ce pistage : un adolescent installé au Brésil et celui d’Oxford, en Angleterre.

Dans le cas de ce dernier, un groupe de pirates concurrents avait déjà dévoilé son identité, son adresse et d’autres informations personnelles. Suffisante pour que Bloomberg tape à la porte de la mère du cybercriminel en herbe. Elle a dit ignorer des activités supposées de son fils.

Lapsus$ a et continu, d’interloquer bon nombre de chercheurs en cybersécurité. Les cyberattaques auxquelles il s’est livré étaient si efficaces que la piste d’une activité automatisée a été évoquée un temps. Pour pirater les entreprises Lapsus$ aurait fait appel à de l’ingénierie sociale et à même proposer publiquement de payer des employés de leurs cibles pour obtenir des accès internes.

Des soupçons non confirmés pour l’heure

Ces deux points mis à part, sa méthodologie reste relativement classique : voler des informations sensibles à une entreprise, crédibiliser son action en publiant des extraits, demander une rançon pour ne pas divulguer les données restantes.

Le groupe s’est toutefois démarqué à plusieurs reprises. Il a demandé, en guise de rançon à Nvidia, que les puces graphiques du groupe ne soient plus bridées pour le minage de cryptomonnaie. Provocateur, Bloomberg révèle que certains de ses membres se seraient invités à des réunions Zoom de ses victimes.

Il n’est pas exceptionnel que des pirates fassent preuve d’une certaine excentricité, sans constituer un indice sur leur âge. Lapsus$ est toujours enveloppé d’une certaine aura de mystère. Toutefois, la police britannique a révélé le 24 mars, qu'elle avait procédé à 7 arrestations dans le cadre de son enquête sur Lapsus$. Les profils des personnes interpellées semblent confirmer les informations de Bloomberg, puisqu'ils seraient âgés de 16 à 21 ans. Ils ont été relâchés, mais placés sous surveillance policière.

EDIT 25/03 : ajout de l’information sur l'interpellation de 7 personnes par la police britannique.