Créer un faux compte dans un espace censé être réservé aux forces de l’ordre ? C’est ce qu’ont réussi à faire les Scattered Lapsus$ Hunters. Pas de fuite de données selon Google, mais l’épisode rappelle à quel point il suffit parfois d’un formulaire mal protégé pour faire tomber tout un système.
Ils ont déjà piégé Salesforce, retourné des outils internes contre leurs propres entreprises, et exposé les données d’organisations internationales. Cette fois, les Scattered Lapsus$ Hunters s’en sont directement pris à l’un des canaux les plus sensibles du web : le portail LERS, réservé aux demandes officielles des forces de l’ordre adressées à Google. Avec cette opération, le groupe signe un coup de maître technique, ou, à tout le moins, une démonstration embarrassante pour la firme de Mountain View.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Quand le contrôle d’identité échappe au contrôle de Google
C’est auprès de BleepingComputer que Google a fini par confirmer publiquement les faits : un compte frauduleux a bien été créé dans son portail réservé aux autorités. Ce système, censé vérifier l’identité des forces de l’ordre avant de leur permettre de déposer des réquisitions, a donc failli à sa propre logique de contrôle.
D’après l’entreprise, aucune donnée n’a été volée, de même qu’aucune demande n’a été transmise par le faux compte. Mais à en croire les captures d’écran publiées par les pirates sur Telegram, ce compte était bien actif. Et quand on connaît les fonctions de LERS, la seule idée qu’un compte frauduleux ait pu s’y glisser suffit à faire frémir.
Car LERS n’a rien d’un banal formulaire de contact. Il s’agit d’un portail sécurisé, utilisé par les forces de l’ordre pour transmettre à Google des demandes légales encadrées – assignations, mandats, ordonnances judiciaires ou requêtes d’urgence – afin d’obtenir, lorsque la demande est jugée conforme, des données particulièrement sensibles, comme des contenus Gmail, historiques de recherche, métadonnées, localisation, coordonnées personnelles ou encore fichiers stockés sur Drive.
À cela s’ajoute une autre revendication des pirates, qui affirment avoir aussi eu accès à eCheck, système de vérification des antécédents géré par le FBI, permettant aux agents de consulter des casiers judiciaires, des statuts administratifs ou encore des données personnelles sensibles dans le cadre de procédures d’enquête.
Le Bureau n’a pas confirmé l’information, mais si elle s’avère fondée, elle soulève des questions sur la fiabilité des dispositifs censés encadrer et légitimer ce type de requêtes.
Un avertissement signé Scattered Lapsus$ Hunters
À l’origine de cette intrusion, on retrouve les Scattered Lapsus$ Hunters, un groupe de hackers tout neuf à la réputation déjà bien établie. Derrière ce nom, on retrouverait a priori les membres de ShinyHunters, associé au piratage des 560 millions de comptes Ticketmaster, de Scattered Spider, impliqués dans l’attaque contre Snowflake, leur fusion avec ShinyHunters ayant été signalée début 2025 par DataBreaches.net, et enfin de Lapsus$, soupçonné d’être à l’origine de plusieurs campagnes très médiatisées mêlant fuites internes, extorsion et ransomware, dont celle ayant visé Engie l’an dernier.
Un genre de méga-collectif, donc, qui enchaîne depuis le début de l’année des cyberattaques d’envergure, à commencer par celle ayant visé Salesforce, dont les données clients ont été massivement siphonnées avant d’être utilisées pour extorquer directement les entreprises concernées, suivie par l’intrusion dans le dépôt GitHub privé de Salesloft, qui leur a permis de récupérer des jetons d’authentification valides pour Salesloft Drift, et de lancer d’autres opérations de vol de données ciblées.
De ces deux piratages ont découlé une série d’attaques beaucoup plus larges, visant des entreprises de tous horizons, parmi lesquelles Google, Adidas, Qantas, Allianz, Cisco, Kering, LVMH, Dior, Cloudflare, Zscaler, Elastic, Proofpoint, Rubrik, Palo Alto Networks… et sans doute quelques autres n’ayant pas encore communiqué sur le sujet.
C’est d’ailleurs Google, via sa division Mandiant, qui avait révélé les compromissions de Salesforce et Salesloft, et appelé les entreprises à renforcer leur sécurité. Un rôle de lanceur d’alerte que les Scattered Lapsus$ Hunters n’ont visiblement pas apprécié.
Source : BleepingComputer
