Lapsus$
Un adolescent d’Oxford et un petit groupe Telegram ont traversé Nvidia, Samsung, Microsoft, Okta et Uber à coups de charme et de SIM-swaps.
Lapsus$ ne ressemblait pas à un groupe de menace sophistiqué. Ils postaient des mèmes sur Telegram. Ils sondaient leurs abonnés pour décider qui faire fuiter ensuite. Leur membre identifié le plus âgé avait dix-sept ans.
Un autre manuel
Ce qui les rendait efficaces, c’était un refus délibéré du manuel conventionnel. Ils ne s’encombraient ni de nouveaux malwares, ni de zero-days. Ils achetaient des cookies de session volés à des courtiers d’accès initial, payaient des collaborateurs internes pour des identifiants, et — point le plus lourd de conséquences — s’appuyaient massivement sur la fatigue de l’authentification multi-facteurs.
La technique était simple. Une fois en possession d’un identifiant et d’un mot de passe valides récupérés via un kit de phishing ou un dump, ils déclenchaient les notifications push sur le téléphone de la cible, encore et encore, heure après heure, jusqu’à ce que quelqu’un finisse par appuyer sur « Approuver » pour faire cesser le bourdonnement. Microsoft, Nvidia, Samsung, T-Mobile et Okta ont tous été en partie compromis par une variante de cette approche.
Le moment Okta
La compromission d’Okta au début de 2022 est celle qui a inquiété. Okta sert de fournisseur d’identité pour des milliers d’entreprises, et Lapsus$ avait pris la main sur le poste portable d’un ingénieur support tiers. Le rayon d’explosion, en principe, couvrait l’ensemble des clients d’Okta.
Ce que la chronique retient
Lapsus$ a fait voler en éclats le récit confortable selon lequel les opérations cyber sérieuses exigent un savoir-faire sérieux. Une bande d’adolescents, en grande partie depuis leur chambre, est entrée chez certaines des entreprises les plus soucieuses de sécurité au monde, en exploitant deux phénomènes plus vieux qu’internet : l’ennui et la fatigue.