La mauvaise nouvelle est que Samsung a maintenant confirmé qu’un groupe criminel a effectivement réussi à violer la sécurité et à voler le code lié au fonctionnement des smartphones Galaxy. La bonne nouvelle est que les données des clients ne semblent pas avoir été piratées et Samsung affirme qu’il n’anticipe aucun impact sur son activité ou ses clients.
Le fait que les 190 Go de code confidentiel qui semblent avoir été volés incluent, selon le groupe cybercriminel à l’origine de l’incident, les algorithmes d’authentification biométrique Galaxy et le code source du chargeur de démarrage, n’est cependant pas vraiment rassurant.
Voici ce que nous savons jusqu’à présent.
Quand Samsung a-t-il été piraté ?
Bien qu’un calendrier précis n’ait pas encore été établi, la nouvelle du piratage massif a fait surface pour la première fois le 4 mars après que les criminels, un gang de cyber-extorsion connu sous le nom de Lapsus$, ont publié un teaser concernant les données de Samsung qu’il était sur le point de divulguer. Ordinateur qui bipe révélé que le code prétendument volé, 190 B au total, incluait la source des applets de confiance dans l’environnement TrustZone du smartphone.
Si cela vous semble familier, c’est parce qu’il a été récemment révélé comment des chercheurs en sécurité avaient découvert de graves vulnérabilités dans la conception cryptographique et la structure de code du système d’exploitation TrustZone (TZOS) qui fait partie de l’environnement d’exécution sécurisé (TEE) de Téléphones intelligents Galaxy. Les deux choses ne paraissent liées, devrais-je ajouter, que par hasard.
Cependant, le teaser de fuite de Lapsus $ ne s’est pas arrêté là, avec des affirmations selon lesquelles les algorithmes de déverrouillage biométrique, le code source du chargeur de démarrage et le code du serveur d’activation Samsung (pour la première configuration de l’appareil) avaient également été exfiltrés.
Quand le piratage de Samsung a-t-il été confirmé ?
La confirmation du piratage est finalement venue, par le biais de une déclaration publiée à Bloombergle 7 mars.
« Selon notre analyse initiale, la violation implique un code source relatif au fonctionnement des appareils Galaxy mais n’inclut pas les informations personnelles de nos consommateurs ou employés », confirme le communiqué. Il a également déclaré que, au moins au 7 mars, Samsung n’avait « prévu aucun impact sur notre entreprise ou nos clients » et a conclu que le géant des smartphones avait mis en place des mesures pour prévenir tout autre incident comme celui-ci.
J’ai contacté Samsung et je mettrai à jour cet article lorsque j’aurai d’autres informations à signaler.
Qui ou qu’est-ce que Lapsus$ ?
À vrai dire, on ne sait pas grand-chose sur le groupe Lapsus $ en ce moment. Quelque chose que j’espère pouvoir rectifier car j’enquête actuellement sur le gang de cybercriminels avec l’aide d’éminents experts en renseignement sur les menaces. Vous pourrez rattraper cette enquête le week-end lorsque mon histoire sera publiée.
Jusque-là, cependant, ce que je peux dire, c’est que Lapsus $ a frappé de grands noms depuis qu’il a été repéré par un radar de recherche en 2020. Ce n’est que l’année suivante, cependant, qu’une violation du ministère de la Santé au Brésil a été revendiqué par le groupe. Bien que l’on pense que Lapsus$ a suivi le modèle de menace post-ransomware typique consistant à exiger de l’argent pour empêcher la publication de données confidentielles exfiltrées, il est loin d’être clair si un ransomware, au sens largement accepté, a été utilisé. Au lieu de cela, semble-t-il, Lapsus$ est fermement assis du côté de l’extorsion de données de la clôture criminelle.
Nous savons que Lapsus $ a attaqué NVIDIA récemment et il y avait apparemment une demande bizarre, presque amateur, pour que le goliath de la carte graphique supprime les limiteurs qui freinent les opérations d’extraction de crypto-monnaie plutôt que l’argent. Rien de tout cela n’a été confirmé par NVIDIA, au-delà confirmation qu’un incident de cybersécurité s’est produit le 23 février qui « a eu un impact sur les ressources informatiques » et a impliqué le vol de « certaines informations propriétaires de NVIDIA ». Cependant, depuis lors, il semble que certificats de signature de code NVIDIA volés sont activement utilisés pour aider les logiciels malveillants à infecter les appareils Windows.
Comme je l’ai dit, je creuse davantage cette semaine et j’espère avoir plus d’informations sur Lapsus $ d’ici le week-end, y compris tout lien géopolitique confirmé, on pense actuellement que le groupe opère en Amérique du Sud, alors gardez un œil sur ma page Forbes pour une mise à jour.
Qu’est-ce que les experts en sécurité ont à dire sur la faille de Samsung ?
Jake Moore, conseiller mondial en cybersécurité chez ESET et ami de l’équipe vidéo Straight Talking Cyber, déclare que « les violations de données comme celle-ci ont souvent un prix, mais ces mauvais acteurs viennent de publier directement les données sans note de rançon ». , laissant les victimes ciblées se démener pour essayer de réduire l’impact là où c’est possible. »
Pendant ce temps, Matt Aldridge, consultant principal en solutions chez Webroot, indique qu’il s’agit « d’une autre leçon pour toutes les organisations de maintenir en place des défenses techniques adéquates pour assurer la cyber-résilience – y compris les technologies de renseignement sur les menaces, les logiciels et les systèmes d’exploitation à jour et les employés appropriés Les entreprises doivent également disposer d’une bonne stratégie de sauvegarde, de récupération de données et de plans de restauration pour atténuer l’impact de toute perte de données.