L’Erasmus du hack se porterait-il comme un charme ? En tout cas les dernières investigations menées à bâtons rompus pour tenter de débusquer les membres qui se cachent derrière Lapsus$ vont bon train et de jeunes pirates sont apparemment dans le viseur des enquêteurs. Pour rappel, Lapsus$ a fait parler de lui à plusieurs reprises ces dernières semaines en étant à l’origine du vol de données et de la compromission de SI de très grands groupes incluant Microsoft, Nvidia, Samsung ou encore dernièrement d’Okta, éditeur spécialisé dans les solutions d’authentification.
D’après Bloomberg, quatre chercheurs en sécurité ont été en mesure de remonter jusqu’à plusieurs membres présumés du groupe Lapsus$ dont un jeune anglais de 16 ans vivant chez sa mère, près d’Oxford. Son nom n’a pas été précisé, mais le hacker serait connu sous les pseudonymes de « White » et de « breachbase ». Il pourrait avoir joué un rôle dans l’intrusion chez l’éditeur de jeu vidéo Electronic Arts (EA) en juin dernier, si l’on en croit le dernier rapport de l’expert en cybersécurité Brian Krebs, qui détaille les activités d’un membre central de Lapsus$ surnommé « Oklaqq » ou « WhiteDoxbin ». Ce jeune homme pourrait bien être la tête pensante de Lapsus$ mais son lien avec l’ensemble des piratages effectués par ce groupe jusqu’à présent n’aurait pas encore été clairement établi. Un autre adolescent, résidant cette fois au Brésil, est aussi dans la ligne de mire des enquêteurs.
Un manque de discrétion fatal pour Lapsus$ ?
Le mode opératoire de Lapsus$ reste au final assez classique mais non moins efficace : après avoir compromis un réseau et mis un pied dans le SI d’une entreprise, les pirates volent des données et réclament alors une rançon en menaçant de publier les informations en sa possession en cas de non versement. Dans un billet de blog, Microsoft qui traque les activités de ce groupe identifié en tant que DEV-0537, a par ailleurs indiqué que ce collectif a réussi à recruter des taupes dans les entreprises ciblées pour l’aider à réussir ses piratages. « Contrairement à la plupart des groupes d’activités qui restent sous le radar, DEV-0537 ne semble pas brouiller les pistes. Ils vont même jusqu’à annoncer leurs attaques sur les réseaux sociaux ou annoncer leur intention d’acheter des identifiants aux employés des organisations ciblées », a expliqué la firme de Redmond. Une stratégie qui n’a manifestement pas permis à ses membres de rester bien longtemps cachés.
Dans son article, Bloomberg explique avoir pu parler à la mère du principal suspect habitant une modeste maison mitoyenne à près de 8km d’Oxford pendant 10mn via l’interphone, et qui n’était manifestement pas au courant des agissements de son ado. Pendant ce temps, sur Telegram, le gang Lapsus$ a fait savoir que quelques uns de ses membres sont en vacances jusqu’au 30 mars 2022. Aucune précision n’a été apportée sur le fait qu’elles se passeront à l’ombre ou pas…