📰 Source : Cybernews, publié le 11 mai 2026 (mis à jour le 13 mai 2026). L’article rapporte une fuite de données revendiquée par le groupe Lapsus$ à l’encontre de Vodafone, l’un des plus grands opérateurs de télécommunications mondiaux.

🎯 Nature de l’incident Lapsus$ affirme avoir exfiltré du code source interne de Vodafone et avoir accordé un délai de 15 jours à l’entreprise pour entamer des négociations. Face au refus de Vodafone, le groupe a publié l’intégralité du dataset sur son site de fuite avec le message : « Time expired. Vodafone refused to pay. Data is now public. »

📦 Contenu de la fuite L’archive publiée pèse environ 7,1 Go et contient :

  • Du code source de plusieurs applications Vodafone, dont Vodafone OnePortal et Cyberhub
  • Des dépôts liés à des environnements de test contenant des configurations internes et des références d’infrastructure
  • Un fichier .txt décrivant la structure arborescente du dataset
  • Plusieurs fichiers avec des identifiants PostgreSQL en dur (hardcoded credentials) pouvant permettre un accès non autorisé aux systèmes backend

🔓 Vecteur d’accès suspecté Les chercheurs de Cybernews estiment que l’attaque a probablement été réalisée via la compromission d’un compte GitHub interne donnant accès à l’ensemble des dépôts concernés.

🏢 Réponse de Vodafone Vodafone a confirmé qu’en mars 2026, une organisation criminelle a obtenu un accès non autorisé à un nombre limité de fichiers de code source sur GitHub. L’entreprise attribue la cause principale à la compromission d’un logiciel de développement tiers. Elle affirme qu’aucune donnée client sensible n’a été volée et qu’aucune infrastructure interne, réseau ou service de production n’a été affecté.

📋 Contexte et historique

  • En 2022, Lapsus$ avait déjà revendiqué le vol de 200 Go de code source depuis environ 5 000 dépôts GitHub de Vodafone
  • Entre 2022 et 2025, au moins 30 fuites distinctes liées à Vodafone ont été documentées
  • En juin 2025, l’autorité allemande de protection des données a infligé à Vodafone une amende de 45 millions d’euros
  • En mi-2025, Lapsus$ a fusionné avec Scattered Spider et ShinyHunters pour former le conglomérat Scattered Lapsus$ Hunters (dit « Trinity of Chaos »)

⚙️ Techniques opératoires de Lapsus$

  • Ingénierie sociale (vecteur principal, pas de malware)
  • SIM-swapping pour intercepter des OTP
  • MFA bombing (fatigue d’authentification)
  • Vishing (usurpation d’identité téléphonique de support IT)
  • Extorsion par menace de publication (pas de chiffrement)

📌 Cet article est une annonce d’incident combinant des éléments d’analyse technique, dont le but principal est de documenter la fuite, d’en analyser le contenu et d’en évaluer les risques pour Vodafone et ses systèmes.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1078 — Valid Accounts (Initial Access)
  • T1213 — Data from Information Repositories (Collection)
  • T1552.001 — Credentials In Files (Credential Access)
  • T1598.003 — Phishing for Information: Spearphishing via Service (Reconnaissance)
  • T1621 — Multi-Factor Authentication Request Generation (Credential Access)
  • T1566.004 — Phishing: Spearphishing Voice (Initial Access)
  • T1586.001 — Compromise Accounts: Social Media Accounts (Resource Development)
  • T1657 — Financial Theft (Impact)
  • T1537 — Transfer Data to Cloud Account (Exfiltration)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ cybernews.com — source non référencée (0pts)
  • ✅ 8481 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Lapsus$, Scattered Spider, ShinyHunters (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cybernews.com/security/vodafone-data-breach-lapsus-github/