Uber, Rockstar Games : le retour de Lapsus$ ?

Le groupe Lapsus$ – ou du moins l’un de ses membres – est-il de retour ? La semaine dernière, nos confrères du New York Times révélaient qu’Uber avait découvert, le jeudi 15 septembre, une intrusion, en profondeur, dans son système d’information (SI). Désormais, Uber indique ouvertement « croire que l’attaquant (ou les attaquants) sont liés au groupe de pirates appelé Lapsus$ ».

Connu depuis la fin 2021, le groupe Lapsus$ s’est notamment fait remarquer par le vol de données chez de grandes entreprises telles que Nvidia, Okta, Samsung, Ubisoft, ou encore Microsoft. Lapsus$ a également affirmé divulguer les condensats des mots de passe des comptes de service et de tous les collaborateurs de LG Electronics.

Un conflit entre cyberdélinquants a conduit la police londonienne à se pencher sur des allégations faites par l’un d’entre eux à l’encontre d’un présumé leader du groupe Lapsus$, et à procéder à sept arrestations fin mars 2022.

Selon de nouvelles fuites, le présumé leader du groupe aurait été remis en liberté début avril et condamné à un simple mois d’interdiction d’accès à Internet. La personne à l’origine des premières fuites sur le leader présumé de Lapsus$ affirme désormais que c’est lui qui se cache derrière les attaques menées contre Uber et Rockstar Games.

Rockstar Games a récemment confirmé avoir été victime d’une intrusion dans son système d’information et d’un vol de données. De fait, les 18 et 19 septembre, des vidéos du futur jeu Grand Theft Auto 6 ont été divulguées par un pirate. Ce dernier a également affirmé disposer de code source lié à GTA 5 et 6.

Le mode opératoire revendiqué par l’attaquant rappelle clairement celui utilisé contre Uber et d’autres victimes de Lapsus$ : l’ingénierie sociale y joue un rôle clé pour contourner les mécanismes de sécurité en place, et en particulier l’authentification à facteurs multiples (MFA).

Accessoirement, les opérateurs du canal Telegram de Lapsus$ n’ont jamais complètement disparu des écrans. À quelques reprises, au cours des derniers mois, des messages ont été publiés sur le canal avant d’être très rapidement supprimés, laissant de nombreux observateurs tout à fait perplexes.