Le groupe cybercriminel Lapsus$ a refait surface en revendiquant une intrusion majeure dans les systèmes du géant pharmaceutique AstraZeneca. Les attaquants affirment avoir exfiltré environ 3 Go de données internes comprenant du code source, des configurations d'infrastructure cloud, des jetons d'authentification et des informations sur les employés. L'archive, au format .tar.gz, est proposée à la vente sur des forums clandestins, les acheteurs potentiels étant invités à négocier via la messagerie chiffrée Session. L'équipe de recherche de Cybernews a examiné les échantillons publiés sur le canal Telegram de Lapsus$ et a confirmé que certaines données semblent légitimes, notamment des profils GitHub d'employés travaillant sur les logiciels internes d'AstraZeneca. Le laboratoire britannique n'a pas encore confirmé officiellement l'incident.

En bref

  • Lapsus$ affirme avoir dérobé 3 Go de données internes d'AstraZeneca incluant du code source et des identifiants
  • Des échantillons publiés sur Telegram semblent légitimes selon les chercheurs de Cybernews
  • AstraZeneca n'a pas confirmé l'incident ; les données sont proposées à la vente sur des forums clandestins

Ce qui s'est passé

Lapsus$, le collectif de hackers qui s'était fait connaître en 2022 par des attaques spectaculaires contre Nvidia, Samsung et Microsoft, est de retour avec une nouvelle cible de premier plan. Le groupe a publié sur son canal Telegram des captures d'écran et des extraits de ce qu'il présente comme des données internes d'AstraZeneca, l'un des plus grands laboratoires pharmaceutiques au monde.

Le butin revendiqué comprend des dépôts de code source développés en Java, Python et Angular, des configurations d'infrastructure cloud, des identifiants de connexion et des jetons d'accès aux systèmes internes, ainsi que des données relatives aux employés. La méthode de monétisation diffère des ransomwares classiques : plutôt que de chiffrer les systèmes et exiger une rançon, Lapsus$ propose les données à la vente via un modèle « pay-to-access », signalant une évolution de ses tactiques d'extorsion.

L'authenticité partielle des données a été confirmée par les chercheurs de Cybernews, qui ont retrouvé dans les échantillons des profils GitHub correspondant à des employés réels d'AstraZeneca. Toutefois, en l'absence de confirmation officielle du laboratoire, l'étendue réelle de la compromission reste incertaine. Ce silence n'est pas inhabituel : les entreprises cotées en bourse prennent généralement le temps de quantifier l'impact avant toute communication publique, comme on l'a vu récemment avec la fuite de données d'Affinity.

Pourquoi c'est important

AstraZeneca développe des traitements contre le cancer, des vaccins et des thérapies cardiovasculaires utilisés par des millions de patients dans le monde. Une compromission de son code source et de ses configurations cloud pourrait avoir des implications bien au-delà du simple vol de données : propriété intellectuelle pharmaceutique, secrets industriels et potentiellement des informations sur des essais cliniques en cours.

Le retour de Lapsus$ est également significatif. Malgré les arrestations de plusieurs membres présumés au Royaume-Uni et au Brésil, le groupe semble avoir reconstitué ses capacités opérationnelles. Cette résurgence rappelle celle d'autres groupes comme Crimson Collective et illustre la difficulté de neutraliser durablement les collectifs cybercriminels décentralisés.

Pour les entreprises du secteur pharmaceutique, déjà ciblées pendant la pandémie de COVID-19, cet incident confirme qu'elles restent des cibles privilégiées en raison de la valeur de leurs données de recherche et développement.

Ce qu'il faut retenir

  • Les entreprises pharmaceutiques doivent renforcer la surveillance de leurs dépôts de code et de leurs configurations cloud, en particulier les jetons d'accès
  • Le modèle d'extorsion « pay-to-access » de Lapsus$ complique la détection : pas de chiffrement, pas de demande de rançon directe
  • La gestion des accès et des autorisations reste le maillon critique pour prévenir ce type d'exfiltration massive

Quelles données AstraZeneca ont été compromises par Lapsus$ ?

Selon les revendications du groupe et les vérifications partielles de Cybernews, les données incluent du code source (Java, Python, Angular), des configurations d'infrastructure cloud, des identifiants système et des informations sur les employés. L'impact sur les données patients ou les essais cliniques n'a pas été établi à ce stade. AstraZeneca a précisé que ses plateformes grand public ne sont pas affectées.

Qui est le groupe Lapsus$ et pourquoi est-il dangereux ?

Lapsus$ est un collectif cybercriminel apparu en 2021, connu pour avoir attaqué des géants technologiques comme Nvidia, Samsung, Microsoft et Uber. Contrairement aux groupes de ransomware classiques, Lapsus$ se spécialise dans l'exfiltration de données et l'extorsion sans chiffrement. Malgré des arrestations en 2022-2023, le groupe a manifestement reconstitué ses capacités.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact