Le groupe Lapsus$ a-t-il dérobé du code source Microsoft ?

Une vraie menace ou un coup de bluff ? Pendant le week-end, les experts en cybersécurité se sont affolés après la publication d’un message provenant du groupe Lapsus$ sur Telegram. Il revendiquait ni plus ni moins le piratage du serveur Azure DevOps de Microsoft contenant de prétendus dépôts de code source interne.

Une capture d’écran était intégrée au message avec le code source de Cortana et divers projets autour de Bing, nommés « Bing_STC_SV », « Bing_Test_Agile » et « Bing_UX ». La photo montre aussi d’autres référentiels, mais sans savoir ce qu’ils contiennent. Chose surprenante de la part du groupe de cybercriminels, il a laissé dans l’image les initiales de l’utilisateur du compte Azure DevOps : IS. Ce « lapsus » contrôlé ou pas doit permettre à Microsoft d’identifier et de sécuriser le compte compromis. Une autre explication est que le groupe n’a pas plus accès aux référentiels ou qu’ils se moquent de l’éditeur.

Message supprimé et Microsoft enquête

Une chose est sûre, Lapsus$ a retiré son message en le remplaçant par une autre note, « supprimé pour le moment, je le reposterai plus tard ». Cependant, plusieurs experts avaient conservé la capture d’écran et l’ont partagé sur Twitter. Le groupe Lapsus$ s’est fait connaître récemment pour avoir pris dans ses filets l'américain Nvidia, le sud-coréen Samsung et le français Ubisoft. A la différence des ransomwares, Lapsus$ ne chiffre pas les données, mais s’est plutôt focalisé sur le vol de données et l’extorsion.

Interpellé, Microsoft n’a pas confirmé cette intrusion dans un compte Azure DevOps, mais a indiqué être au courant de cette affaire. Une enquête a d'ailleurs été diligentée. L’éditeur relativise néanmoins en soulignant que la publication de code source n’entraîne pas une augmentation du risque. Un argument utilisé notamment dans l’affaire Solarwinds. Mais comme l’indique nos confrères de Bleepingcomputer, les dépôts de code source contiennent très souvent des tokens, des informations d’identification, des API clés et même des certificats de signature de code. Ces derniers ont par exemple été utilisé dans le cadre du piratage de Nvidia.