Archives par mot-clé : LapSus$

Cybersécurité, Entreprise, Espionnage Spy, Justice

CrowdStrike sanctionne un « initié » après business pirate

CrowdStrike a licencié un employé accusé d’avoir transmis des informations internes à un collectif de hackers. L’affaire illustre une menace difficile à neutraliser : l’abus de confiance, parfois plus simple qu’une intrusion technique.

CrowdStrike a confirmé le licenciement d’un employé ayant divulgué des informations internes à un groupe baptisé Scattered Lapsus Hunters, présenté comme une alliance mêlant des profils liés à Scattered Spider, LAPSUS$ et ShinyHunters. Des captures d’écran publiées sur un canal Telegram public montraient un tableau de bord interne de CrowdStrike, avec des liens vers des systèmes d’entreprise, dont l’authentification unique Okta. Les attaquants ont d’abord évoqué une compromission via le prestataire Gainsight et des cookies d’authentification. CrowdStrike nie toute intrusion externe et affirme qu’il s’agissait de photos prises par l’employé. ShinyHunters aurait proposé 25 000 $ (23 000 €) pour obtenir un accès.

Une fuite « par l’intérieur » plutôt qu’une brèche technique

Le cœur du dossier est une clarification d’attribution. Le groupe a, dans un premier temps, revendiqué une compromission de CrowdStrike via une plateforme tierce, Gainsight, en affirmant avoir récupéré des cookies d’authentification. CrowdStrike répond en niant catégoriquement toute attaque externe réussie. Selon l’entreprise, les images ne démontrent pas une intrusion : ce sont des captures prises par un employé depuis son propre écran, puis divulguées.

Les captures publiées sur Telegram auraient montré l’interface d’un tableau de bord interne, avec des liens vers des systèmes de l’entreprise, dont la page d’authentification unique Okta. Même sans accès direct, ce type d’éléments peut alimenter un repérage : cartographie des outils, vocabulaire interne, chemins d’accès, et indices sur la manière dont l’organisation structure ses contrôles.

Le récit insiste sur le risque interne. CrowdStrike place ce danger au même niveau que les vulnérabilités techniques, parce qu’un initié n’a pas besoin de “casser” la sécurité pour faire sortir de l’information. Il peut simplement la copier, la photographier ou la raconter, en profitant d’un accès déjà légitime.

L’offre financière et la tactique de « super alliance »

Une enquête plus poussée, selon CrowdStrike, a établi que ShinyHunters avait offert 25 000 $ (23 000 €). Cette somme suggère une logique de recrutement : payer pour accélérer l’accès, réduire les risques d’attaque directe, et contourner des défenses techniques coûteuses à franchir.

Le groupe cité, Scattered Lapsus Hunters, est décrit comme une « super alliance » rassemblant des membres de plusieurs collectifs connus. L’intérêt de ce type de bannière, dans une opération, est d’agréger des compétences et de maximiser l’impact psychologique, tout en brouillant les responsabilités. En prétendant à une intrusion via un tiers, l’attaquant peut aussi tester la réaction publique et pousser la cible à se défendre, ce qui révèle parfois des informations supplémentaires.

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

 

CrowdStrike affirme que son centre de sécurité a détecté l’anomalie à temps, que les attaquants n’ont pas réussi à établir un accès valide, et que l’événement a été rapidement contenu. L’entreprise indique que ses systèmes n’ont pas été compromis et que ses clients sont restés protégés. L’employé mis en cause a été licencié, et l’affaire a été transmise aux forces de l’ordre.

Ce passage met en avant une distinction essentielle : fuite d’information ne veut pas dire prise de contrôle. Ici, CrowdStrike sépare l’exposition, captures et éléments de connexion, d’une compromission effective de ses systèmes. Cette nuance compte, car les récits d’attaque jouent souvent sur l’ambiguïté entre “preuve de présence” et “preuve d’accès”, surtout lorsqu’une publication sur un canal public vise à créer une perception de défaillance.

Une leçon de chaîne d’approvisionnement, mais aussi de gestion RH

L’incident est rattaché à une série d’attaques récentes attribuées à ce même ensemble d’acteurs contre de grandes entreprises. Le texte souligne leur appétit pour les fournisseurs externes et prestataires, citant Salesforce et Gainsight comme exemples de surfaces privilégiées. Mais l’épisode CrowdStrike rappelle qu’un prestataire n’est pas la seule porte d’entrée : un employé peut jouer ce rôle, volontairement, sous contrainte ou contre rémunération.

Pour les organisations, le message est concret. Renforcer les défenses techniques reste indispensable, mais l’angle mort se situe souvent dans la gouvernance des accès : qui voit quoi, à quel moment, avec quelles traces, et avec quelles barrières contre l’exfiltration “banale”, photo d’écran, export, copie. La prévention passe aussi par la détection comportementale interne et par une politique claire sur les dispositifs personnels, les canaux de messagerie, et la gestion des alertes quand un salarié devient un point de risque.

Cette affaire illustre une réalité opérationnelle : l’attaquant n’a pas toujours besoin d’exploiter une faille, il peut acheter ou manipuler un accès humain, puis fabriquer un récit d’intrusion externe pour amplifier l’effet. La question, côté cyber et renseignement, est désormais de savoir comment mesurer et réduire la probabilité de trahison opportuniste, sans bloquer le travail quotidien : quelles combinaisons de contrôle d’accès, de traçabilité et de signaux RH permettent de détecter un initié avant la fuite publique ?

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
backdoor, Cyber-attaque, Cybersécurité, Securite informatique

Google sous pression après une menace du collectif Scattered LapSus Hunters

Un collectif cybercriminel exige le licenciement de deux experts sécurité de Google. Sans preuve d’intrusion, la menace illustre une nouvelle tactique d’intimidation contre les équipes de renseignement.

Le collectif Scattered LapSus Hunters, réunissant trois groupes de pirates connus, menace Google de divulguer des données internes si deux de ses experts en cybersécurité ne sont pas renvoyés. Cette demande inédite, relayée sur Telegram, cible directement les équipes de Threat Intelligence de l’entreprise. Aucune preuve d’intrusion n’a été présentée à ce jour, mais la menace intervient après une fuite récente liée à un prestataire Salesforce ayant touché des données de contacts professionnels. Google n’a pas confirmé de compromission ni réagi publiquement à cet ultimatum. L’affaire met en lumière les pressions croissantes exercées sur les géants technologiques et le rôle clé de leurs cellules de renseignement cyber.

Origines et méthodes du collectif

Les Scattered LapSus Hunters se présentent comme une alliance de trois acteurs notoires de la cybercriminalité : Scattered Spider, LapSus$ et ShinyHunters. Chacun s’est déjà illustré par des attaques marquantes contre de grandes entreprises technologiques. Scattered Spider est réputé pour ses campagnes de social engineering et ses opérations de rançongiciels. LapSus$ s’est fait connaître en piratant Microsoft, NVIDIA et d’autres géants du secteur. ShinyHunters, pour sa part, a bâti sa réputation en volant et en revendant des bases de données issues de plateformes comme Wattpad ou Tokopedia. Personne ne s’est encore imaginé « publiquement » qu’ilm s’agirait peut-être de la même personne, cachait depuis peu sous ces trois signatures.

Cette coalition revendique aujourd’hui une stratégie atypique : exiger non pas une rançon financière, mais le renvoi de deux employés de l’équipe de Threat Intelligence de Google. Une telle démarche suggère que ces analystes mènent activement des enquêtes susceptibles de nuire aux opérations des cybercriminels. Les noms n’ont pas été divulgués, mais le ciblage personnel constitue une escalade significative dans la confrontation entre acteurs malveillants et équipes de défense.

Alerte après une fuite via Salesforce

La menace survient quelques semaines après un incident impliquant l’écosystème de Google. En août, l’un des groupes liés au collectif a exploité une faille chez Salesforce, prestataire externe de Google, pour accéder à des données de contacts professionnels. Les systèmes centraux de l’entreprise n’ont pas été compromis, mais l’événement a permis aux attaquants de récupérer des informations exploitables pour des campagnes de phishing et de vishing à grande échelle.

Face à ce risque accru, Google a diffusé une recommandation mondiale de réinitialisation de mots de passe, visant ses 2,5 milliards d’utilisateurs Gmail. Ce geste illustre la sensibilité de la menace, même lorsque la compromission ne touche pas directement les infrastructures internes. Les cybercriminels misent sur ces brèches périphériques pour multiplier les angles d’attaque.

À ce stade, Google n’a publié aucun communiqué officiel en réponse à l’ultimatum des Scattered LapSus Hunters. L’entreprise semble attendre d’éventuelles preuves tangibles avant d’ajuster sa posture publique. Complyer à une exigence visant des employés serait inédit et risquerait de créer un précédent dangereux, incitant d’autres groupes à recourir à l’extorsion ciblée.

Cette situation constitue un test pour les grandes entreprises technologiques. Elles doivent arbitrer entre discrétion stratégique, communication transparente envers leurs utilisateurs et protection de leurs équipes de renseignement. Si les pirates publient un jour des preuves crédibles d’intrusion, Google sera contraint d’activer ses protocoles de divulgation et de confinement. En attendant, l’épisode illustre la montée en puissance des tactiques de pression psychologique sur les défenseurs, autant que sur les infrastructures techniques.