Microsoft annonce mener une investigation après que certains de ses repositories de codes sources aient été piratés par le groupe de hackers Lapsus.

Lapsus$… Ce nom ne vous dit peut-être rien, mais ce groupe de hackers fait beaucoup parler de lui en ce moment en attaquant de très grands groupes internationaux : Samsung, NVidia, Okta, Ubisoft, LG Electronics… À cette liste s’ajoute désormais Microsoft. Particularités, Lapsus$ semble en partie composé de hackers adolescents échangeant au travers de Telegram et procède assez ouvertement à du recrutement « d’insiders », autrement dit d’employés et autres complicités internes des entreprises qu’il compte attaquer pour obtenir des identifiants et s’infiltrer sur les réseaux. Bref, le groupe ne fait pas dans la discrétion et se montre assez paradoxal : d’un côté il se comporte comme une bande d’ados, de l’autre il attaque de très grands groupes avec une efficacité professionnelle.

Cette semaine, après un flot de rumeurs puis de captures d’écrans dévoilées sur les réseaux sociaux, une archive contenant 37 Go de codes sources Microsoft a fuité sur les réseaux undergrounds. Celle-ci contiendrait 90% du code source de Bing et 45% du code source de Cortana et de Bing Maps. Ces codes sources auraient été volés après que Lapsus$ ait obtenu un accès à certains des repositories Azure DevOps internes du groupe dirigé par Satya Nadella.

Selon BleepingComputer, les codes sources semblent effectivement authentiques. Et leur divulgation semble sous-entendre que l’éditeur n’a pas voulu céder au chantage du groupe de hackers, si chantage il y a eu. Car il est possible qu’aucun chantage n’ai été formulé. Selon certains observateurs, les hackers auraient été un peu trop rapides à « leaker » des screenshots : leur attaque était encore en cours (ou peut être déjà stoppée par Microsoft) et les captures affichaient ouvertement le compte utilisé pour l’accès. De quoi permettre aux équipes sécurité de Microsoft de réagir et de limiter les dégâts.

Alors que les premières rumeurs de fuites commençaient à se répandre, l’éditeur a rapidement confirmé avoir lancé une enquête interne et identifié qu’un unique compte avait été compromis.

Il affirme par ailleurs que sa Threat Intelligence a repéré l’attaque avant même que les premières captures ne soient diffusées sur les réseaux sociaux. Une affirmation que semble corroborer le comportement singulier des hackers dans ce cas précis.

Dans un billet sur son Blog Sécurité, Microsoft en dévoile d’ailleurs un peu plus sur le profil de Lapsus$ et sur ses pratiques : utilisation des VPN de NordVPN, de l’outil Redline, achats de profils sur les forums underground, paiements d’employés soudoyés, SIM Jacking, exploitation des vulnérabilités de Confluence, Jira, GitLab, etc.

Affaire à suivre…

À lire également :

> L’usage des VPN explose en Russie

> Google va racheter Mandiant. C’est officiel.

> Microsoft étend sa sécurité cloud au multicloud

> Microsoft Singularity : une IA à l’échelle planétaire

> Guerre en Ukraine : les inquiétudes cybersécurité du gouvernement et un satellite piraté