Le groupe Lapsus$, qui s’est illustré récemment avec une attaque d’envergure sur le géant des GPU Nvidia (voir notre article), a remis le couvert; d’après Bleeping Computer, ce groupe spécialisé dans l’extorsion de données serait revenu à la charge en s’attaquant cette fois à Samsung, le titan coréen de l’électronique.
Le mode opératoire paraît relativement semblable. Les pirates ont trouvé un moyen de s’introduire dans un serveur sensible de l’entreprise, puis de le délester d’une quantité considérable d’éléments sensibles; comme dans le cas de Nvidia, ils ont ensuite rendu tous ces éléments publics et annoncé leur méfait en publiant une capture d’écran d’une fenêtre de l’IDE Visual Studio Code représentant leur butin.
À l’heure actuelle, Samsung n’a pas émis de communiqué officiel sur la question. Elle a commencé par reconnaître la situation dans une (très) courte déclaration au Korean Herald; la marque a sobrement annoncé qu’elle “étudiait la situation”. Elle n’a cependant pas confirmé si les pirates leur avaient adressé une demande de rançon; pour rappel, c’est de cette façon qu’ils avaient procédé lors de l’attaque de Nvidia. Si l’on se fie au précédent établi à ce moment, il y a de fortes chances que la finalité soit la même.
Du code particulièrement sensible pris en otage
En effet, Lapsus$ a annoncé avoir récupéré certains “éléments de code source confidentiel” et par définition très sensible. Ceux-ci pourraient donc constituer un moyen de pression important. Le butin comprendrait notamment :
- Du code source lié aux opérations de chiffrement et autres éléments de sécurité critiques
- Des algorithmes en lien avec l’authentification biométrique
- Du code bootloader (un élément de code particulièrement critique qui permet sommairement de déployer les mises à jour des applications)
- Des éléments de code source confidentiel issu de Qualcomm
- Du code source issu des serveurs d’activation Samsung
- Une partie du GitHub privé de Samsung, contenant divers éléments critiques
- Le code source complet de la technologie utilisée pour autoriser et authentifier les comptes Samsung, y compris les APIs et services
Si ces revendications sont exactes, il s’agit donc d’une fuite majeure. La plupart des éléments mentionnés ci-dessus pourraient représenter un vrai problème de sécurité; la marque a donc intérêt à réagir relativement vite. On imagine également que son partenaire Qualcomm n’est probablement pas ravi de voir certains de ses programmes propriétaires confidentiels émerger au grand jour.
Si l’on se fie à une seconde capture d’écran de Lapsus$ relayée par Bleeping Computer, tous ces éléments sont rassemblés dans une archive d’environ 190 GB subdivisée en trois parties. Ces trois archives ont déjà été mises en ligne par le groupe de pirates, probablement en attendant le versement d’une rançon.
Samsung a cependant tenu à rassurer ses clients. La marque a assuré à Bloomberg que la fuite ne contenait “aucune information personnelle sur les clients ou les employés”. Elle a également précisé qu’elle ne “s’attendait pas à un quelconque impact commercial ou sur les clients”, et qu’elle avait “pris des mesures” pour empêcher de nouveaux incidents de ce type.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
