Lapsus$ s’attaque à Okta après Samsung et NVidia

mars 23, 2022mars 23, 2022 Romuald Pena

Le groupe aurait fait son apparition au mois de décembre 2021. Ils ont commencé par cibler principalement des victimes de langue portugaise, telles que l’entreprise de médias Impresa et aussi le ministère de la Santé du Brésil. Mais il s’est fait remarquer par le vol de données chez de grandes compagnies que sont Nvidia, Samsung, Ubisoft, ou encore Microsoft. Dernier en date, Okta. L’entreprise a nié avoir été compromis et enquête sur les revendications d’une violation de données supposée.

Comme l’organisation de Ransomware-as-a-Service, LockBit 2.0, le groupe #Lapsus$ est prolifique. Il semble cependant se concentrer exclusivement sur le vol de données et l’extorsion. Okta Inc, dont les services d’authentification sont exploités par de nombreuses sociétés telles Fedex Corp, Moody’s Corp, Ymeris, Engie, Unify… pour donner accès à leurs réseaux, a déclaré mardi 22 mars 2022 qu’elle avait été attaquée par des « pirates informatiques » et que certains clients avaient pu être affectés.

En février 2022, **Lapsus**$ a volé 1 To de données à Nvidia, notamment des renseignements sensibles, du code source, des noms d’utilisateur et des mots de passe. Quelques jours plus tard, ils ont annoncé avoir volé 190 gigaoctets à Samsung, des informations sur le système d’authentification biométrique du smartphone Galaxy. (Crédits : capture d’écran)

Mardi 22 mars 2022, à 4 h 9, Lapsus$ revendiquait sur son canal Telegram, une cyberattaque contre Okta. Dans son message, le groupe précise ne pas avoir accédé à des bases de données de l’éditeur ni en avoir subtilisé, leur « intérêt s’est uniquement porté sur les clients d’Okta ». La firme américaine a publié sur son site Web qu’une « tentative infructueuse de compromission du compte d’un ingénieur de support client travaillant pour un prestataire tiers » s’était produite. Mais assure qu’il n’y a pas eu de brèche, que ses services « restent pleinement opérationnels », sans qu’aucune action corrective ne soit nécessaire du côté de ses clients. « Pour un service qui alimente les systèmes d’authentification de nombreuses grandes entreprises (et approuvé par FEDRAMP), je pense que ces mesures de sécurité sont plutôt médiocres […] », revendiquait Lapsus$.

Le 10 mars 2022, **Ubisoft** a publié une déclaration confirmant qu’elle avait subi une violation de ses systèmes. Quant à la firme américaine, elle indique « ***poursuivre l’investigation*** », notamment pour « ***identifier et contacter les clients qui pourraient avoir été contactés*** ». (Crédits : capture d’écran)

L’ampleur du méfait n’est pas connue, mais un piratage d’Okta pourrait avoir des conséquences majeures. En effet des milliers d’entreprises comptent sur cette société pour gérer l’accès à leurs propres réseaux et applications, comme en France, Foncia, Renault, Kiwi, BazarVoice… Okta a déclaré que la violation pourrait être liée à un incident antérieur survenu en janvier. David Bradbury, responsable de la sécurité chez Okta, confirmait par un billet que des assaillants ont bien eu la main sur l’ordinateur portable d’un ingénieur, entre les 16 et 21 janvier 2022. Mais que « l’impact potentiel sur les clients d’Okta est limité à l’accès dont disposent les ingénieurs de support. »