Lapsus$ : l’insolence au service du hack
Oubliez les hackers en capuche dans des caves sombres travaillant pour des services secrets. Lapsus$, c’est une bande de jeunes, parfois mineurs, qui agit avec un culot monstre. Apparu fin 2020, ce groupe s’est d’abord attaqué à des cibles en Amérique latine avant de devenir le cauchemar des GAFAM.
Leur style ? Zéro discrétion. Contrairement aux gangs de ransomware classiques qui se cachent sur le Dark Web, Lapsus$ gère sa communication comme des influenceurs. Ils possèdent une chaîne Telegram de plus de 50 000 abonnés où ils postent des sondages pour demander à leur communauté quelle entreprise ils devraient pirater ensuite.
« Lapsus$ est loin d’être aussi organisé que les groupes affiliés à des États, mais il laisse des traces partout sans aucune précaution », notent les experts de Microsoft.
Un tableau de chasse qui donne le vertige
Ce qui frappe avec Lapsus$, c’est la stature de ses victimes. En quelques mois, ils ont réussi ce que des hackers russes mettent des années à préparer : pénétrer les systèmes les plus sécurisés de la planète.
| Cible | Bilan du piratage | Technique utilisée |
|---|---|---|
| NVIDIA | 1 To de données volées, dont des certificats de signature. | Accès via VPN employé. |
| Samsung | 190 Go de code source des smartphones Galaxy. | Failles dans les codes sources. |
| Microsoft | 37 Go de code source (Bing, Cortana). | Compromission d’un compte employé. |
| Okta | Accès administrateur aux systèmes d’authentification. | Prise de contrôle d’un PC d’ingénieur. |
| Rockstar Games | Fuite historique d’images de GTA VI. | Social Engineering. |
Leur arme secrète : vous (ou votre collègue)
Vous pensez qu’ils utilisent des codes ultra-complexes dignes de Matrix ? Pas vraiment. La spécialité de Lapsus$, c’est le Social Engineering (l’ingénierie sociale). En gros, ils manipulent les gens. Ils piègent des employés, achètent des mots de passe sur le marché noir ou recrutent carrément des « taupes » en interne.
Sur Telegram, ils n’hésitent pas à poster des offres d’emploi pour des employés chez Apple, Microsoft ou Orange. Le deal ? « Donnez-nous vos accès VPN ou Citrix contre une grosse somme en Bitcoin ». Pour eux, l’humain est la faille de sécurité la plus facile à craquer.
- Le recrutement : Ils cherchent activement des complices internes dans les grandes boîtes.
- L’extorsion : Ils ne se contentent pas de voler, ils menacent de détruire les données ou de les publier si la rançon n’est pas payée.
- La destruction : Contrairement à d’autres, ils n’hésitent pas à effacer les serveurs de leurs victimes après le vol.
« White », le cerveau de 17 ans aux 300 Bitcoins
La chute du groupe a commencé en mars 2022. La police de Londres a interpellé sept personnes âgées de 16 à 21 ans. Le profil du chef présumé a choqué le monde : un adolescent autiste de 17 ans, connu sous le pseudo « White » ou « Breachbase ».
Vivant chez ses parents à Oxford, Arion Kurtaj (son vrai nom) aurait accumulé une fortune estimée à 300 BTC, soit environ 14 millions de dollars à l’époque. Jugé inapte à comparaître lors d’un procès classique en raison de ses troubles du spectre autistique, il a été placé en hospitalisation forcée dans un hôpital sécurisé. La justice a estimé qu’il restait un « haut risque » pour la société, tant son envie de hacker reste intacte.
« Arion Kurtaj a été placé dans un hôpital sécurisé jusqu’à ce que la justice décide s’il peut être laissé libre sans risque de récidive », rapporte Le Monde.
Scattered Lapsus$ Hunters : la menace n’est pas morte
Si Arion Kurtaj est hors jeu, la nébuleuse Lapsus$ continue de muter. Une nouvelle alliance appelée Scattered Lapsus$ Hunters a récemment fait parler d’elle. Ces nouveaux pirates se revendiquent du collectif « The Comm » et s’en prennent directement aux agences gouvernementales américaines (FBI, NSA, DHS).
Ils auraient récupéré les données personnelles de 22 000 fonctionnaires américains en s’introduisant dans les bases de données de clients de Salesforce. Plus inquiétant encore : ils menaceraient de vendre ces adresses personnelles à des cartels mexicains. Le jeu est devenu beaucoup plus sombre.
Pourquoi on doit s’en méfier ?
- Ils ciblent désormais la supply chain (les prestataires de services) pour toucher les gros poissons.
- Leurs motivations semblent passer de l’argent pur à une forme de chaos médiatique.
- Ils maîtrisent le « doxing » : publier les infos privées des gens pour les harceler.
L’histoire de Lapsus$ nous apprend une chose cruciale : en 2026, la cybersécurité ne repose plus seulement sur des pare-feu sophistiqués, mais sur la vigilance de chaque employé. Car derrière chaque grand piratage, il y a souvent un simple humain qui a cliqué sur le mauvais lien ou accepté un virement en Bitcoin.
