🗓️ Contexte

Publié le 20 mars 2026 par Hackread.com, cet article rapporte la revendication du groupe LAPSUS$ d’une violation de données ciblant AstraZeneca, multinationale pharmaceutique et biotechnologique de premier plan. Les affirmations ont été publiées sur un forum de hackers et sur le site officiel du groupe.

📦 Données revendiquées

Le groupe affirme avoir obtenu environ 3 Go de données internes, proposées à la vente au plus offrant, comprenant :

  • Code source (Java, Angular, Python)
  • Secrets et credentials (clés privées, données vault)
  • Configurations d’infrastructure cloud (AWS, Azure, Terraform)
  • Données employés et sous-traitants
  • Des archives au format .tar.gz ont été mentionnées comme vecteur de partage

🔬 Analyse des échantillons

Hackread a examiné trois catégories d’échantillons :

1. Données GitHub Enterprise (sensibilité : haute)

  • Noms d’employés, rôles, permissions, statut 2FA, usernames GitHub
  • Structure cohérente avec un export réel d’environnement GitHub Enterprise
  • Présence de comptes avec privilèges Owner sur plusieurs dépôts

2. Données d’accès tiers / sous-traitants (sensibilité : modérée à haute)

  • IDs internes, noms, emails, affiliations (IQVIA, Parexel, Labcorp)
  • Accès à des systèmes internes (ex: Confluence)
  • Commentaires d’équipes internes suggérant une authenticité probable

3. Données financières génériques (sensibilité : faible)

  • Statistiques financières génériques « toutes industries »
  • Probablement incluses pour gonfler le volume, sans lien direct avec AstraZeneca

⚠️ Niveau de risque

Type de données Sensibilité Impact potentiel
Rôles GitHub Enterprise Haute Escalade de privilèges, cartographie interne
Données employés/sous-traitants Modérée à haute Phishing, ingénierie sociale
Configs infrastructure cloud (revendiquées) Critique Compromission complète de l’environnement
Données financières génériques Faible Aucun risque direct

📌 Statut de vérification

Les revendications restent non vérifiées au moment de la publication. AstraZeneca n’a pas encore répondu. L’attribution dans les forums cybercriminels est jugée peu fiable par l’auteur.

📰 Nature de l’article

Article de presse spécialisée relatant une revendication d’incident non confirmée, avec analyse partielle des échantillons publiés par le groupe menaçant.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • LAPSUS$ (cybercriminal)

TTP

  • T1530 — Data from Cloud Storage (Collection)
  • T1552.001 — Credentials In Files (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1213 — Data from Information Repositories (Collection)
  • T1567 — Exfiltration Over Web Service (Exfiltration)

🔗 Source originale : https://hackread.com/hacker-group-lapsus-astrazeneca-data-breach/