Selon BleepingComputer, Google a confirmé qu’un compte frauduleux avait été créé dans sa plateforme Law Enforcement Request System (LERS), utilisée par les forces de l’ordre pour soumettre des demandes légales. Le compte a été désactivé et, selon Google, aucune requête n’a été transmise et aucune donnée n’a été consultée via ce compte. Le FBI a décliné tout commentaire alors qu’un groupe se présentant comme « Scattered Lapsus$ Hunters » affirme avoir accédé à la fois à LERS et au système eCheck du FBI, en publiant des captures d’écran de cet accès.
🚨 L’enjeu est sensible car LERS et FBI eCheck sont utilisés par des autorités dans le monde entier pour des assignations, ordonnances judiciaires et demandes de divulgation d’urgence. Un accès non autorisé pourrait permettre à des attaquants d’usurper l’identité de forces de l’ordre et d’obtenir des données sensibles d’utilisateurs.
🕵️ Le groupe « Scattered Lapsus$ Hunters », qui revendique des liens avec Shiny Hunters, Scattered Spider et Lapsus$, est crédité d’attaques de vol de données à grande échelle visant des données Salesforce cette année. Les acteurs ont d’abord utilisé des campagnes d’ingénierie sociale pour convaincre des employés de connecter l’outil Salesforce Data Loader aux instances d’entreprise, afin de dérober des données et faire chanter les victimes.
Par la suite, ils auraient compromis le dépôt GitHub de Salesloft et utilisé Trufflehog pour rechercher des secrets dans le code privé, découvrant des jetons d’authentification pour Salesloft Drift qui auraient servi à poursuivre les vols de données Salesforce. Les attaques ont touché de nombreuses entreprises, notamment : Google, Adidas, Qantas, Allianz Life, Cisco, Kering, Louis Vuitton, Dior, Tiffany & Co, Cloudflare, Zscaler, Elastic, Proofpoint, JFrog, Rubrik, Palo Alto Networks, et d’autres.
Google Threat Intelligence (Mandiant) a largement documenté ces campagnes et mis en garde les entreprises, suscitant des réactions provocatrices du groupe sur Telegram. Après avoir annoncé « passer dans l’ombre », les acteurs ont publié un long message laissant entendre qu’ils pourraient apparaître dans de futurs rapports, tandis que des chercheurs pensent qu’ils continueront discrètement leurs opérations. (Mise à jour du 15/09/25 : modification du titre de l’article pour éviter de suggérer une compromission.)
TTPs observés:
- Ingénierie sociale pour connecter Salesforce Data Loader à des instances d’entreprise
- Exfiltration de données et extorsion
- Compromission d’un dépôt GitHub (Salesloft)
- Usage de Trufflehog pour la découverte de secrets dans du code privé
- Exploitation de jetons d’authentification (Salesloft Drift) pour accéder à des données Salesforce
Type d’article: article de presse spécialisé visant à rapporter les revendications des acteurs, la réponse de Google et le contexte des campagnes en cours.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/google-confirms-fraudulent-account-created-in-law-enforcement-portal/