Assiégés : des hackers exigent que Google licencie ses propres employés sous peine de divulguer une bombe de données

En Bref

• Le 1er septembre 2025, un ultimatum sur Telegram a menacé Google d'une fuite de données si deux experts en sécurité n'étaient pas licenciés.
• La menace provient de "Scattered Lapsus$ Hunters", une coalition mêlant les tactiques de Scattered Spider, Lapsu$ et ShinyHunters.
• Les cibles incluent un analyste du Threat Intelligence Group de Google et un ancien chercheur de Mandiant.
• Les exigences incluent également l'arrêt des enquêtes sur plusieurs groupes cybercriminels connus suivis par Google et Mandiant.
• Aucune preuve directe d'une intrusion n'a été fournie, mais une attaque liée en août 2025 a exposé des données de contacts professionnels.

Un ultimatum audacieux dans l’ombre du cyberespace

Imaginez la Silicon Valley à la fin de l’été : alors que la plupart du monde technologique se prépare aux lancements d’automne, l’équipe de sécurité de Google est prise de court par un message venu des bas-fonds numériques. Sur un canal Telegram tristement célèbre pour l’extorsion cybernétique, les “Scattered Lapsus$ Hunters” lancent une exigence sans précédent : licenciez deux des vôtres, ou nous révélerons vos secrets.

Ce n’était pas une demande de rançon habituelle. Les hackers, qui tirent leur nom et leur style de groupes notoires comme Scattered Spider, Lapsu$ et ShinyHunters, ont ciblé des personnes – pas seulement des données. Leur message au PDG Sundar Pichai nommait spécifiquement deux experts en sécurité de haut niveau, l’un du Threat Intelligence Group de Google et l’autre récemment intégré via l’acquisition de Mandiant, un acteur majeur de la réponse aux incidents.

Au-delà de l’argent : viser les défenseurs

En général, les cybercriminels recherchent un gain financier ou des informations sensibles. Mais cette menace est personnelle. En exigeant le licenciement d’analystes qui traquent les groupes cybercriminels – connus sous le nom de clusters “UNC” – les Scattered Lapsus$ Hunters tentent une nouvelle tactique : affaiblir l’opposition en éliminant les chasseurs. Selon le message original sur Telegram (rapporté dans le cluster Netcrook), le groupe veut aussi que Google cesse d’enquêter sur plusieurs groupes numérotés UNC, des labels désignant des collectifs de hackers actifs suivis par les experts du secteur.

Une telle exigence est rare. “Menacer de divulguer des données pour obtenir le licenciement de défenseurs spécifiques est une manœuvre calculée pour perturber les enquêtes”, indique un récent rapport de Recorded Future, qui suit les tendances de la cybercriminalité. Nommer publiquement des individus donne un visage humain à la guerre cybernétique, augmentant les enjeux et mettant potentiellement en danger la sécurité personnelle.

Dilemme des données : véritable intrusion ou bluff ?

Malgré des menaces spectaculaires, le groupe n’a pas encore fourni de preuve d’un accès profond aux systèmes internes de Google. La seule intrusion récente avérée remonte à août 2025, lorsque ShinyHunters a compromis un système Salesforce utilisé par Google pour ses communications professionnelles. Cet incident a entraîné la fuite d’informations de contact et ouvert la porte à des campagnes de phishing – des courriels frauduleux visant à piéger les employés – mais n’a pas touché les données centrales des utilisateurs ni les joyaux de la couronne de Google.

Les experts en sécurité, notamment ceux de Mandiant (désormais intégré à Google), estiment que ces nouvelles menaces relèvent moins du vol de données réel que de l’intimidation. En semant la peur et l’incertitude, les hackers espèrent ralentir ou stopper les enquêtes en cours sur leurs propres activités. Comme on l’a vu lors d’attaques très médiatisées – telles que les brèches Lapsu$ de 2022 chez Microsoft et Okta – les campagnes d’extorsion publiques relèvent souvent autant de la guerre psychologique que de la prouesse technique (voir les analyses de KrebsOnSecurity et The Record).

Pourquoi c’est important : le marché et le message

Les équipes de sécurité de Google sont en première ligne d’un conflit cybernétique mondial. Lorsque les attaquants ciblent les défenseurs, il ne s’agit pas seulement d’un drame interne – c’est une tentative de faire pencher la balance dans une bataille bien plus vaste. Les analystes avertissent que si de telles menaces aboutissent, cela pourrait encourager des tactiques de “chasse à l’homme” dans tout le secteur, mettant en danger des professionnels qualifiés et sapant la résilience des entreprises.

À la date de publication, Google n’a pas répondu publiquement à l’ultimatum. Mais le monde observe : l’issue pourrait donner le ton sur la manière dont les géants de la tech – et leurs équipes – feront face à la prochaine vague de chantage cybernétique.

WIKICROOK

• Threat Intelligence Group : Une Threat Intelligence Group est une équipe qui enquête, suit et analyse les menaces et attaquants cybernétiques afin de protéger les actifs numériques d’une organisation.
• Phishing : Le phishing est un cybercrime où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
• UNC (Unknown Numbered Cluster) : UNC désigne des groupes de hackers non identifiés suivis par des experts en cybersécurité avant que leur identité ou leurs commanditaires ne soient confirmés.
• Fuite de données : Une fuite de données est la divulgation non autorisée d’informations confidentielles, exposant souvent des données sensibles au public ou à des acteurs malveillants.
• Extortionware : L’extortionware est une cyberattaque où des criminels menacent de divulguer des données volées à moins que la victime ne paie une rançon ou ne satisfasse à leurs exigences.