En quelques jours, c’est une avalanche de données sensibles qui est publiée. Après Nvidia, c’est au tour de Samsung d’être au cœur d’un « incident de sécurité » orchestré par le groupe dénommé Lapsus$. En effet, ce dernier vient de publier trois archives de données provenant du chaebol coréen pour un total de 190 Go d’information. Elles concernent notamment du code source de certains produits Samsung.

Selon nos confrères de Bank Info Security, le code source des Trusted Applet installés sur la TrustZone de tous les terminaux Samsung avec un code spécifique pour chaque TEE OS (QSEE, TEEGris, etc). Les Trusted Applets sont utilisées pour des opérations sensibles telles que le contrôle d'accès complet et le chiffrement. La liste du groupe de pirates comprend également du code de déblocage des fonctions biométriques, « qui communique directement avec le capteur (jusqu'au niveau le plus bas), nous parlons ici de flux binaires individuels RX/TX et du code ». Le groupe poursuit avec le code source du bootloader (logiciel de démarrage) de tous les terminaux Samsung récents, y compris les données Knox (outil de sécurité de Samsung) et le code pour l'authentification.

Samsung confirme le vol de données sur les Galaxy

Dans la besace de Lapsus$, la partie online est aussi visée avec le code source des serveurs d'activation Samsung ( pour la première installation) et celui des comptes Samsung qui comprend l'authentification, l'identité, l'API, les services et bien d'autres choses encore. Enfin, le gang clôt cette première livraison par des éléments de code de différents partenaires de Samsung et notamment Qualcomm.

Interrogé par différents médias, le fournisseur coréen a répondu, « nous avons récemment été informés de l'existence d'une faille de sécurité concernant certaines données internes de l'entreprise. Immédiatement après avoir découvert l'incident, nous avons renforcé notre système de sécurité. Selon notre analyse initiale, la violation concerne certains codes sources relatifs au fonctionnement des terminaux Galaxy mais n'inclut pas les informations personnelles de nos clients ou employés ». La firme coréenne se veut rassurante en ajoutant, « actuellement, nous ne prévoyons aucun impact sur notre entreprise ou nos clients. Nous avons mis en place des mesures pour prévenir de nouveaux incidents de ce type et nous continuerons à servir nos clients sans interruption ». Reste maintenant à savoir comment sera utilisé les codes qui ont fuités (création d'exploits dédiés) et si d’autres éléments seront publiés dans les prochains jours.