CrowdStrike a licencié un employé accusé d’avoir transmis des informations internes à un collectif de hackers. L’affaire illustre une menace difficile à neutraliser : l’abus de confiance, parfois plus simple qu’une intrusion technique.

CrowdStrike a confirmé le licenciement d’un employé ayant divulgué des informations internes à un groupe baptisé Scattered Lapsus Hunters, présenté comme une alliance mêlant des profils liés à Scattered Spider, LAPSUS$ et ShinyHunters. Des captures d’écran publiées sur un canal Telegram public montraient un tableau de bord interne de CrowdStrike, avec des liens vers des systèmes d’entreprise, dont l’authentification unique Okta. Les attaquants ont d’abord évoqué une compromission via le prestataire Gainsight et des cookies d’authentification. CrowdStrike nie toute intrusion externe et affirme qu’il s’agissait de photos prises par l’employé. ShinyHunters aurait proposé 25 000 $ (23 000 €) pour obtenir un accès.

Une fuite « par l’intérieur » plutôt qu’une brèche technique

Le cœur du dossier est une clarification d’attribution. Le groupe a, dans un premier temps, revendiqué une compromission de CrowdStrike via une plateforme tierce, Gainsight, en affirmant avoir récupéré des cookies d’authentification. CrowdStrike répond en niant catégoriquement toute attaque externe réussie. Selon l’entreprise, les images ne démontrent pas une intrusion : ce sont des captures prises par un employé depuis son propre écran, puis divulguées.

Les captures publiées sur Telegram auraient montré l’interface d’un tableau de bord interne, avec des liens vers des systèmes de l’entreprise, dont la page d’authentification unique Okta. Même sans accès direct, ce type d’éléments peut alimenter un repérage : cartographie des outils, vocabulaire interne, chemins d’accès, et indices sur la manière dont l’organisation structure ses contrôles.

Le récit insiste sur le risque interne. CrowdStrike place ce danger au même niveau que les vulnérabilités techniques, parce qu’un initié n’a pas besoin de “casser” la sécurité pour faire sortir de l’information. Il peut simplement la copier, la photographier ou la raconter, en profitant d’un accès déjà légitime.

L’offre financière et la tactique de « super alliance »

Une enquête plus poussée, selon CrowdStrike, a établi que ShinyHunters avait offert 25 000 $ (23 000 €). Cette somme suggère une logique de recrutement : payer pour accélérer l’accès, réduire les risques d’attaque directe, et contourner des défenses techniques coûteuses à franchir.

Le groupe cité, Scattered Lapsus Hunters, est décrit comme une « super alliance » rassemblant des membres de plusieurs collectifs connus. L’intérêt de ce type de bannière, dans une opération, est d’agréger des compétences et de maximiser l’impact psychologique, tout en brouillant les responsabilités. En prétendant à une intrusion via un tiers, l’attaquant peut aussi tester la réaction publique et pousser la cible à se défendre, ce qui révèle parfois des informations supplémentaires.

SERVICE DE VEILLE ZATAZ Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous. Fuites de données, Veille web & dark web, alertes et priorisation des risques.

DÉCOUVRIR LA VEILLE Dédiée aux entreprises, institutions et particuliers. A PARTIR DE 0,06€ PAR JOUR

 

CrowdStrike affirme que son centre de sécurité a détecté l’anomalie à temps, que les attaquants n’ont pas réussi à établir un accès valide, et que l’événement a été rapidement contenu. L’entreprise indique que ses systèmes n’ont pas été compromis et que ses clients sont restés protégés. L’employé mis en cause a été licencié, et l’affaire a été transmise aux forces de l’ordre.

Ce passage met en avant une distinction essentielle : fuite d’information ne veut pas dire prise de contrôle. Ici, CrowdStrike sépare l’exposition, captures et éléments de connexion, d’une compromission effective de ses systèmes. Cette nuance compte, car les récits d’attaque jouent souvent sur l’ambiguïté entre “preuve de présence” et “preuve d’accès”, surtout lorsqu’une publication sur un canal public vise à créer une perception de défaillance.

Une leçon de chaîne d’approvisionnement, mais aussi de gestion RH

L’incident est rattaché à une série d’attaques récentes attribuées à ce même ensemble d’acteurs contre de grandes entreprises. Le texte souligne leur appétit pour les fournisseurs externes et prestataires, citant Salesforce et Gainsight comme exemples de surfaces privilégiées. Mais l’épisode CrowdStrike rappelle qu’un prestataire n’est pas la seule porte d’entrée : un employé peut jouer ce rôle, volontairement, sous contrainte ou contre rémunération.

Pour les organisations, le message est concret. Renforcer les défenses techniques reste indispensable, mais l’angle mort se situe souvent dans la gouvernance des accès : qui voit quoi, à quel moment, avec quelles traces, et avec quelles barrières contre l’exfiltration “banale”, photo d’écran, export, copie. La prévention passe aussi par la détection comportementale interne et par une politique claire sur les dispositifs personnels, les canaux de messagerie, et la gestion des alertes quand un salarié devient un point de risque.

Cette affaire illustre une réalité opérationnelle : l’attaquant n’a pas toujours besoin d’exploiter une faille, il peut acheter ou manipuler un accès humain, puis fabriquer un récit d’intrusion externe pour amplifier l’effet. La question, côté cyber et renseignement, est désormais de savoir comment mesurer et réduire la probabilité de trahison opportuniste, sans bloquer le travail quotidien : quelles combinaisons de contrôle d’accès, de traçabilité et de signaux RH permettent de détecter un initié avant la fuite publique ?

News & alertes actualités cyber Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.

S’abonner à la NewsLetter ZATAZ Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. YouTube Whatsapp GNews Autres