Responsable de plusieurs intrusions informatiques dans de grands groupes de la tech, le collectif Lapsus$ serait dirigé par un ado de 16 ans. C’est ce que suggère une enquête.

Derrière Lapsus$, un adolescent d’à peine 16 ans ? C’est la piste que suggère le média Bloomberg, dans un article daté du 23 mars. Le site s’appuie sur les investigations conduites par quatre chercheurs en sécurité informatique sur ce groupe, qui a récolté une notoriété certaine en matière de cybercriminalité au cours des derniers mois.

Plus exactement, ce jeune homme est décrit comme le cerveau potentiel de ce gang, qui compterait au moins sept membres. Sa participation à toutes les attaques revendiquées par Lapsus$ demeure néanmoins floue : les enquêteurs n’ont pas réussi à acquérir la certitude de son implication dans toutes les opérations, mais ils pensent qu’il a participé à certaines des plus importantes.

Ces profils sont en tout cas dans le collimateur de la police. Selon la BBC, il y a eu sept arrestations ce 24 mars, toutes liées à Lapsus$. Ces suspects sont tous décrits comme des jeunes, dont l’âge va de 16 à 21 ans. Il n’a pas été précisé si celui qui est décrit comme la tête pensante du groupe figure parmi les sept interpellés

Nvidia, Microsoft, Ubisoft parmi les victimes

Lapsus$ est un nom qui a gagné en visibilité du fait des cibles de haute valeur qu’il a pris pour cible : parmi les noms les plus significatifs figurent Samsung, Nvidia, Ubisoft et Vodafone — ce sont principalement des entreprises évoluant dans le secteur de la tech, au sens large. Et dernièrement, Lapsus$ a attaqué Microsoft, en lui dérobant des portions de code source.

La compromission du système informatique passe par l’exploitation d’une faille qui a été découverte ou bien par la récupération des identifiants d’une victime. Une fois un accès frauduleux obtenu, le groupe met la main sur les informations qu’il peut trouver — comme du code source, des bases de données, des informations de clientèle, etc. — pour exiger le paiement d’une rançon pour ne rien dévoiler.

Microsoft
Microsoft a vu une partie de son code source s’échapper dans la nature. Mais l’entreprise a minimisé l’incident. // Source : ajay_suresh — photo retouchée

C’est une approche qui n’est pas sans rappeler le fonctionnement des rançongiciels (ransomwares), sauf qu’il n’y a pas de déploiement d’un logiciel malveillant dans les systèmes informatiques de la victime pour bloquer les fichiers et les données. Ici, les pirates copient les données de leur côté et menacent de les diffuser un peu partout si leurs demandes ne sont pas satisfaites.

Les actions de Lapsus$ n’ont pas été anodines pour les entreprises touchées. Le code source de plusieurs applications clés de Microsoft (son moteur de recherche Bing, son assistant virtuel Cortana, son outil cartographique Bing Maps) a été diffusé. Pour Nvidia, ce sont des informations sur ses cartes graphiques actuelles et futures et certaines technologies qui ont été exposées.

L’identification du hacker repose sur l’analyse des piratages liés à Lapsus$, mais aussi par du renseignement en source ouverte. D’ailleurs, ses données personnelles ont été mises en ligne par des gangs rivaux, dont son adresse postale et des informations sur ses parents. Des éléments qui ont sans doute permis de remonter sa trace.

Bloomberg a pu échanger avec sa mère. L’adolescent vit au Royaume-Uni, près d’oxford, avec ses parents, qui disent ne rien savoir des activités en ligne de leur enfant. Le journal se garde d’en dire plus sur ce jeune, en rappelant d’une part qu’il s’agit d’un mineur et que, d’autre part, il ne fait pas encore l’objet d’une quelconque mise en accusation.

Le récit livré par le média anglophone surprend du fait de l’âge de celui que l’on présente comme la tête pensante de l’un des groupes les plus médiatisés ces dernières semaines. Mais cette particularité n’est pas forcément rare : au sein du collectif LulzSec, qui s’était fait connaître en 2011 avec diverses intrusions informatiques, certains membres n’avaient pas 20 ans.

Les agissements de Lapsus$, eux, dont l’objet d’enquêtes par les forces de l’ordre, notamment aux États-Unis et au Royaume-Uni. L’identification de cet adolescent par les quatre chercheurs en sécurité informatique, qui ont été recrutés pour ce travail, suggérait qu’il allait être tôt ou tard dans le radar de la police. Le coup de filet annoncé ce 24 mars le confirme.

(mise à jour avec l’annonce des arrestations du 24 mars)