Lapsus$, un groupe d’extorsion de piratage qui ciblait auparavant Nvidia, a commencé chant à propos d’une importante fuite de données Samsung qu’il a architecturée. Les pirates ont affirmé avoir pillé environ 200 Go de données compressées sur les serveurs Samsung, y compris de la documentation confidentielle, du code et d’autres informations exclusives. Plus précisément, Lapsus $ prétend avoir mis la main sur le code d’authentification Knox, les algorithmes de déverrouillage biométrique, le code du chargeur de démarrage pour tous les appareils Samsung récents, le code source de l’applet de confiance, le code derrière les services en ligne et les comptes Samsung, et bien plus encore.
Si les affirmations sont correctes, Samsung a subi une fuite importante et potentiellement très dommageable en raison des actions de ces pirates sud-américains. D’après les avis publiés par le groupe, il est difficile d’identifier la fuite de données la plus cruciale, car elles semblent toutes si essentielles à la sécurité des appareils Samsung. Un smartphone sur cinq vendu dans le monde est un appareil Samsung Galaxy, donc Samsung ne ressentira pas seulement les retombées potentielles de ce piratage ; il a des centaines de millions d’utilisateurs à considérer.
En essayant de déterminer la nature et le contenu du piratage de Samsung, Bleeping Computer a réfléchi aux revendications du gang d’extorsion, aux captures d’écran partagées et à un ensemble de fichiers téléchargeables contenant les données divulguées. La capture d’écran révèle du code C/C++ du logiciel Samsung ouvert dans un éditeur. Le contenu de la fuite est disponible via le protocole BitTorrent. Environ 400 pairs ont partagé le contenu Samsung volé, il s’agit donc d’un bloc de données plutôt populaire.
Fait intéressant, Bleeping Computer a téléchargé le petit ReadMe.txt à partir du torrent, et il explique le contenu du trio d’archives 7Zip comme suit :
- Archive partie 1 : contient un vidage du code source et des données associées sur la sécurité/défense/Knox/Bootloader/TrustedApps et divers autres éléments
- Archive partie 2 : contient un vidage du code source et des données associées sur la sécurité et le chiffrement des appareils
- Archive partie 3 : contient divers référentiels de Samsung Github : ingénierie de défense mobile, backend de compte Samsung, backend/frontend de pass Samsung et SES (Bixby, Smartthings, Store)
Nvidia puis Samsung – à qui le tour ?
Vous connaissez peut-être le nom Lapsus$ grâce à notre couverture du piratage Nvidia au cours de la semaine dernière. Il y a environ cinq jours, les extorqueurs en ligne ont menacé de divulguer le code LHR de Nvidia – une partie d’un transport de données de 1 To qu’il avait collecté au cours de la semaine précédente. Nvidia a réagi le lendemain avec sa première déclaration officielle sur le vol de code. Dans le même temps, Lapsus$ a augmenté ses demandes financières – demandant un paiement pour garder les données de Nvidia secrètes.
Les sommes financières en jeu sont devenues évidentes, car Lapsus $ avait mis un prix autocollant de 1 million de dollars pour garder secret le code de contournement LHR. Plus récemment, Nvidia a de nouveau été piqué par les pirates hier. Lasus $ a semblé publier les informations d’identification de 71 355 employés de Nvidia, peut-être comme un autre avertissement que l’équipe verte doit payer pour qu’elle se taise.
Nous n’avons aucune preuve que Samsung et Lapsus $ ergotent sur les gains. Cela ne signifie pas que les extorqueurs n’ont pas essayé d’extraire de l’argent de Samsung avant de rendre public aujourd’hui. Il semble probable que Samsung ait résisté à toute demande financière, et c’est pourquoi nous voyons ces données apparemment sensibles distribuées aujourd’hui.
Espérons que d’autres entreprises verront les exemples de Nvidia et Samsung comme des avertissements évidents qu’ils pourraient être les prochains et examineront attentivement et investiront dans leur sécurité informatique.