Le procès impliquant plusieurs affaires de cybercriminalité dont les leaks de Grand Theft Auto VI est actuellement en cours en Angleterre, mettant en cause deux individus dont un jeune homme de 18 ans identifié et poursuivi pour un total de 12 chefs d’accusation.

Des informations désormais publiques

Grâce à la levée d’une restriction de signalement par le tribunal de la Couronne britannique datant du mardi 11 juillet 2023, nous apprenons l’identité du principal accusé dans l’affaire des leaks de Grand Theft Auto VI. Il s’agit donc d’un jeune homme âgé de 18 ans s’appelant Arion Kurtaj. Inculpé conjointement avec un autre jeune homme de 17 ans à la Cour royale de justice du Royaume-Uni, il est accusé de faire parti du groupe de hackers surnommé « Lapsus$« , considéré par la justice britannique comme étant l’un des “acteurs clés“ de chantage, de fraude et de « Computer Misuse Act » selon la loi de 1990 du Royaume-Uni sur l’utilisation abusive des ordinateurs.

Les deux jeunes hommes font l’objet d’un procès pénal à Londres au cours duquel les procureurs ont déclaré au jury qu’Arion Kurtaj avait piraté les systèmes de la société Revolut, d’Uber et de Rockstar Games en septembre dernier. Des actions perpétrées alors qu’il était déjà en liberté sous caution pour d’autres chefs d’inculpation.

« Back to hack Slack »

Selon les procureurs, Arion Kurtaj, ainsi que d’autres membres inconnus du groupe Lapsus$, sont jugés responsables du vol du code source du dernier volet de la série Grand Theft Auto actuellement en développement et de la diffusion de 90 extraits vidéos démontrant des phrases de développement du jeu en question. Pour cela, le jeune homme se serait fait passer pour un sous-traitant de l’entreprise après une intrusion dans le serveur interne d’une équipe de Rockstar Toronto via la plateforme de communication collaborative propriétaire Slack et aurait divulgué le gain de son piratage sur des forums tout en sollicitant le paiement d’une rançon.

Pour le moment, Arion Kurtaj a été jugé inapte à participer à son procès pour des raisons médicales. Cela signifie qu’un jury décidera seulement s’il est responsable des crimes allégués, et non pas s’il en est coupable. Il évitera également la prison s’il est reconnu coupable. Le procès devrait durer 8 semaines.

Nombreuses sont les victimes

Voici la liste non exhaustive des sociétés qui ont été victime des agissements du groupe Lapsus$ (leaks, rançons, chantage…) :

• Uber
• Revolut
• Nvidia
• Ubisoft
• T-Mobile
• Samsung
• Rockstar Games

Avec sont complice, Arion Kurtaj aurait attaqué les opérateurs téléphoniques EE et BT Group entre juillet et septembre 2021, cherchant ainsi à extorquer 4 millions d’euros. Plusieurs mois plus tard, les hackers ont attaqués le géant Nvidia, tentant de faire chanter la société en menaçant de divulguer des données confidentielles. En septembre 2022, ils ont pris pour cible la société de banque en ligne Revolut, volant les données confidentielles de 5000 clients et causant plus de 3 millions de dollars de dommages à la société Uber. Plusieurs miiliers de giga-octets de leaks proposées aux plus offrants…

Peu de temps après, le groupe s’est attaqué à Rockstar Games…

Mode d’attaque

LAPSU$ est un groupe ayant commencé par une attaque contre le gouvernement brésilien à la fin de 2021, exposant les dossiers de vaccination COVID-19 de millions de Brésiliens. Leurs méthodes d’attaque sont incroyablement effrontées, sans aucune tentative pour cacher leurs traces. Allant jusqu’à annoncer les attaques à l’avance sur leur canal Telegram suivi par plus de 40.000 abonnés et même jusqu’à proposer des sondages réguliers sur la prochaine entreprise qu’ils souhaitent frapper.

Mais ils ont également fait de graves erreurs de calcul, notamment un malentendu déconcertant sur les pare-feu d’entreprise de Nvidia. Régulièrement décrit comme compétent et incompétent à la fois, c’est pourquoi certains prétendent que cette opération internationale de cybercriminalité est dirigée par un adolescent. Depuis leur première brèche en décembre 2021, le groupe n’a cessé de faire des vagues dans la communauté cybercriminelle.

Bien qu’il s’agisse d’un acteur menaçant très dangereux, il ne s’agit pas techniquement d’un groupe de rançongiciels. Les groupes de rançongiciels créent leurs propres souches de rançon qui suivent toutes des méthodes d’infiltration et d’attaque similaires. Cependant, LAPSU$ profite de la principale faiblesse de toute organisation : la faille humaine = Ingénierie Sociale !

Et maintenant ?

Le procès ne fait que commencer. Même si ce cher Arion Kurtaj a été évalué par des psychiatres comme n’étant pas apte à subir son procès, Il est évident que les avocats de Take-Two Interactive, Blank Rome LLP, utiliseront toutes leurs ressources afin que la justice britannique décide de punir durement l’auteur de la plus grande fuite de données confidentielles de l’histoire du jeu vidéo.

Affaire à suivre…

Nous vous souhaitons un bon week-end sur Rockstar Mag’ !