Microsoft victime d’une cyberattaque massive menée par un ado

Liées ou pas à la guerre en Ukraine, les cyberattaques se multiplient ces dernières semaines, et en début de semaine, un groupe de pirates appelé Lapsus$ a annoncé qu’il s’était introduit sur les serveurs de Microsoft pour y dérober près de 40 Go de documents confidentiels.

Il ne s’agissait pas de données personnelles de clients de Windows ou d’Office, mais d’une grande partie du code source du moteur de recherche Bing, de l’application Bing Maps et de l’assistant vocal Cortana. Microsoft a confirmé le piratage par ce collectif qu’elle nomme DEV-0537, et des experts en sécurité ont décidé d’identifier ce groupe de pirates déjà connu pour avoir attaqué dans le passé Samsung, Vodaphone, nVidia et Ubisoft.

Sa mère tombe des nues

Selon Bloomberg, l’enquête permet de remonter jusqu’à un adolescent de 16 ans vivant avec sa mère près d’Oxford, en Angleterre ! Même s’il s’agit bien d’un groupe de pirates, puisque sept comptes différents ont été repérés, la tête pensante serait donc un ado anglais.

Une femme qui s’est présentée comme la mère du garçon a parlé avec un journaliste de Bloomberg pendant environ 10 minutes via un interphone. Elle a expliqué qu’elle n’était pas au courant des accusations contre son fils ou des fuites de documents. Elle a confié être très troublée que des vidéos et des photos de sa maison et de la maison du père de l’adolescent soient dévoilées.

La police de Thames Valley et la National Crime Agency, qui enquêtent sur le piratage au Royaume-Uni, n’ont pas réagi aux révélations de Bloomberg, tandis que le FBI, qui enquête sur les attaques de Lapsus$, a refusé de commenter.

Pour le confondre, les experts en sécurité ont utilisé des traces liées aux piratages, mais aussi profité des informations fournies par des groupes de pirates concurrents ! La guerre numérique oppose aussi les pirates entre eux, et un collectif a carrément mis en ligne les coordonnées de l’adolescent, avec son adresse et des informations sur ses parents. Bloomberg n’a pas dévoilé ces informations personnelles mais le média a donné ses pseudos : « White » et « breachbase ».

Des pirates peu discrets

Les experts en sécurité, cités par Bloomberg, avouent être très impressionnés par les qualités de ce jeune pirate, et notamment par la rapidité des attaques menées. À un tel point qu’ils pensaient que c’était un robot qui les effectuait ! Le hic, c’est que ce groupe de jeunes pirates est plus attiré par la gloire que par l’argent, et c’est ce qui a permis de les identifier en partie.

Sur son blog, Microsoft détaille l’attaque et les dommages subis, et confirme ainsi que les membres de Lapsus$ se soucient peu de leur protection et de leur anonymat. « Contrairement à la plupart des groupes d’activités qui restent cachés, DEV-0537 ne semble pas masquer ses traces. Ils vont jusqu’à annoncer leurs attaques sur les réseaux sociaux ou à annoncer leur intention d’acheter des informations d’identification à des employés des entreprises ciblées. »

Les jeunes pirates publient ainsi sur Telegram leurs demandes, ou utilisent Zoom pour contacter les entreprises piratées. Une méthode qui a permis à Microsoft de limiter la casse. « Notre équipe enquêtait déjà sur le compte compromis sur la base de renseignements sur les menaces lorsque le pirate a révélé publiquement son intrusion. Cette divulgation publique a intensifié notre action, permettant à notre équipe d’intervenir et d’interrompre l’opération, limitant ainsi un impact plus large. »