Le groupe de piratage Lapsus$ a volé le code source de T-Mobile lors d’une série d’infractions qui ont eu lieu en mars, comme l’a rapporté pour la première fois Krebs sur la sécurité. T-Mobile a confirmé l’attaque dans une déclaration à Le bordet affirme que « les systèmes consultés ne contenaient aucune information sur les clients ou le gouvernement ou d’autres informations sensibles similaires ».
Dans des copies de messages privés obtenus par Krebs, le groupe de piratage Lapsus$ a évoqué le ciblage de T-Mobile dans la semaine précédant l’arrestation de sept de ses membres adolescents. Après avoir acheté les informations d’identification des employés en ligne, les membres pouvaient utiliser les outils internes de l’entreprise – comme Atlas, le système de gestion des clients de T-Mobile – pour effectuer des échanges de cartes SIM. Ce type d’attaque consiste à détourner le téléphone portable d’une cible en transférant son numéro sur un appareil appartenant à l’attaquant. À partir de là, l’attaquant peut obtenir des SMS ou des appels reçus par le numéro de téléphone de cette personne, y compris tous les messages envoyés pour l’authentification multifacteur.
Selon des captures d’écran publiées par Krebs, les pirates de Lapsus$ ont également tenté de pénétrer dans les comptes T-Mobile du FBI et du ministère de la Défense. Ils n’ont finalement pas pu le faire, car des mesures de vérification supplémentaires étaient nécessaires.
« Il y a plusieurs semaines, nos outils de surveillance ont détecté un acteur malveillant utilisant des informations d’identification volées pour accéder aux systèmes internes qui hébergent des logiciels d’outils opérationnels », a déclaré T-Mobile dans un communiqué envoyé par e-mail à Le bord. « Nos systèmes et processus ont fonctionné comme prévu, l’intrusion a été rapidement arrêtée et fermée, et les informations d’identification compromises utilisées sont devenues obsolètes. »
T-Mobile a été victime de plusieurs attaques au fil des ans. Bien que ce piratage particulier n’ait pas affecté les données des clients, les incidents passés l’ont fait. En août 2021, une violation a révélé les informations personnelles appartenant à plus de 47 millions de clients, tandis qu’une autre attaque survenue quelques mois plus tard a compromis « un petit nombre » de comptes clients.
Lapsus$ s’est fait un nom en tant que groupe de piratage qui cible principalement le code source des grandes entreprises technologiques, comme Microsoft, Samsung et Nvidia. Le groupe, qui serait dirigé par un cerveau adolescent, a également ciblé Ubisoft, le partenaire Apple Health Globant et la société d’authentification Okta.