Fuite de GTA VI chez Rockstar Games (Lapsus$)

Un membre adolescent de Lapsus$ a compromis le Slack interne et les systèmes de développement de Rockstar Games par ingénierie sociale, puis a divulgué environ 90 séquences en cours de développement du jeu inédit Grand Theft Auto VI — l'une des plus grandes fuites de l'histoire du jeu vidéo.

Le 18 septembre 2022, un utilisateur de forum se faisant appeler « teapotuberhacker » a publié environ 90 séquences vidéo du jeu inédit Grand Theft Auto VI sur GTAForums, accompagnées d'affirmations d'accès au code source interne et à l'espace de travail Slack de Rockstar Games. Il s'agissait de l'une des plus grandes fuites non autorisées de l'histoire du jeu vidéo, réalisée non pas au moyen d'une chaîne d'exploitation sophistiquée mais par ingénierie sociale opérée par un membre adolescent du groupe d'extorsion Lapsus$.

Ce qui s'est passé

Le même acteur — identifié plus tard comme Arion Kurtaj — avait quelques jours plus tôt compromis Uber au moyen de techniques de fatigue MFA et d'ingénierie sociale caractéristiques de Lapsus$. Contre Rockstar, l'intrus a obtenu l'accès aux communications internes (Slack) et aux systèmes de développement, puis a exfiltré des séquences de build préliminaires du GTA VI en cours de développement.

Rockstar a confirmé l'intrusion le 19 septembre 2022, la décrivant comme une « intrusion réseau au cours de laquelle un tiers non autorisé a illégalement accédé à des informations confidentielles de nos systèmes et les a téléchargées ». L'entreprise a souligné qu'elle n'anticipait aucune perturbation de ses services en ligne ni du développement à long terme du jeu.

Fait remarquable, des éléments de preuve présentés au procès ont établi par la suite que Kurtaj a mené une partie de l'attaque contre Rockstar alors qu'il était en liberté sous caution pour des infractions antérieures — son ordinateur portable confisqué — à l'aide d'une clé Amazon Fire TV, d'un téléviseur d'hôtel et d'un téléphone portable. Il a compromis le système de messagerie interne de l'entreprise et a lancé un ultimatum de 24 heures, exigeant un contact faute de quoi il publierait le code source et les ressources.

Impact

~90 séquences et ressources associées du GTA VI inédit ont été divulguées publiquement, se propageant rapidement sur les réseaux sociaux avant les retraits.
Rockstar a indiqué au tribunal que l'incident avait coûté à l'entreprise environ 5 millions de dollars US, plus un temps considérable de personnel consacré à la remédiation.
Aucune violation de données clients ni compromission de registres financiers n'a été signalée ; le préjudice portait sur la propriété intellectuelle confidentielle et la réputation.
Rockstar a verrouillé les commentaires sur les réseaux sociaux et a collaboré avec les plateformes pour retirer le matériel divulgué ; le développement de GTA VI s'est poursuivi, la première bande-annonce officielle du jeu étant diffusée en décembre 2023.

Attribution

La fuite est l'œuvre de Lapsus$, un groupe peu structuré composé principalement d'acteurs adolescents responsables en 2021–2022 d'intrusions chez Nvidia, Microsoft, Samsung, Okta, BT/EE, Revolut et Uber. Arion Kurtaj, un adolescent de l'Oxfordshire en Angleterre, a été arrêté le 23 septembre 2022. En août 2023, un jury londonien l'a jugé responsable des intrusions chez Rockstar, Uber, Nvidia et Revolut ; déclaré inapte à être jugé en raison d'un autisme sévère, le jury s'est prononcé sur les faits de l'affaire plutôt que de rendre un verdict classique. Le 21 décembre 2023, il a fait l'objet d'une mesure d'hospitalisation indéterminée.

Pourquoi c'est important

La fuite de Rockstar constitue une étude de cas déterminante en matière de sécurité du facteur humain. Aucune faille zero-day n'a été nécessaire : la compromission reposait sur l'ingénierie sociale, l'abus d'outils de collaboration internes et des faiblesses des contrôles d'identité et d'accès. Elle a souligné que la fatigue MFA, la manipulation du support technique et la confiance excessive accordée aux environnements Slack/Teams internes suffisent à pénétrer des entreprises technologiques pourtant bien dotées — le même mode opératoire que Lapsus$ a employé contre Okta et Uber à la même période. Pour le secteur du jeu vidéo en particulier, elle a imposé une réflexion approfondie sur la manière dont la propriété intellectuelle préalable à la sortie est segmentée, surveillée et protégée au sein des environnements de développement.

Chronologie

15 septembre 2022

À peu près la même semaine, le membre de Lapsus$ Arion Kurtaj compromet Uber par ingénierie sociale / fatigue MFA, illustrant la campagne d'extorsion active du groupe.

18 septembre 2022

Un nouvel utilisateur de GTAForums, « teapotuberhacker », publie environ 90 séquences vidéo et images de test du jeu inédit Grand Theft Auto VI, affirmant avoir accédé au Slack interne et au code source du jeu de Rockstar.

19 septembre 2022

Rockstar Games confirme une « intrusion réseau » au cours de laquelle un tiers non autorisé a accédé à des informations confidentielles, dont des séquences de développement préliminaires du prochain Grand Theft Auto, et les a téléchargées.

23 septembre 2022

La police de la City de Londres, appuyée par la National Cyber Crime Unit britannique, arrête un jeune de 17 ans dans l'Oxfordshire pour suspicion de piratage.

1 août 2023

Un jury londonien juge Kurtaj responsable des intrusions chez Rockstar, Uber, Nvidia et Revolut ; déclaré inapte à être jugé en raison d'un autisme sévère, le jury s'est prononcé sur les faits.

21 décembre 2023

Kurtaj est condamné à une mesure d'hospitalisation indéterminée, devant rester dans un établissement sécurisé jusqu'à ce que les cliniciens estiment qu'il ne représente plus un danger pour le public.

Sources

bbc.comhttps://www.bbc.com/news/technology-67663128

engadget.comhttps://www.engadget.com/gta-vi-hacker-arrested-report-uber-uk-lapsus-151958335.html

kotaku.comhttps://kotaku.com/gta-vi-6-hacker-leak-uber-lapsus-rockstar-teapot-1849569292

cbsnews.comhttps://www.cbsnews.com/news/grand-theft-auto-leak-teen-hacker-hospitalized/

Incidents liés

Ingénierie socialeContenu15 septembre 2022

Intrusion Uber par Lapsus$ via ingénierie sociale

Un individu de 18 ans affilié à Lapsus$ a manipulé un sous-traitant d'Uber par ingénierie sociale, a vaincu la MFA grâce à une campagne de bombardement de notifications d'une heure, puis a trouvé des identifiants administrateur codés en dur sur un partage interne qui ont déverrouillé les tableaux de bord AWS, G-Suite, Slack et HackerOne d'Uber.

Victim: Uber Technologies

Ingénierie socialeContenu22 mars 2022

Intrusion Okta via le support tiers par Lapsus$

Le groupe d'extorsion Lapsus$ a compromis l'ordinateur portable d'un ingénieur de support du sous-traitant Sitel d'Okta, obtenant une fenêtre d'accès de 25 minutes en janvier 2022 qui a touché deux locataires clients. L'intrusion n'est devenue publique que lorsque Lapsus$ a diffusé des captures d'écran en mars.

Victim: Okta (via le sous-traitant Sitel/Sykes)

Ingénierie socialeRésolu15 juillet 2020

Arnaque au Bitcoin et compromission de l'outil d'administration de Twitter

Des attaquants ont utilisé le spear-phishing téléphonique contre des employés de Twitter pour atteindre un outil d'administration interne « agent », détournant 130 comptes de premier plan dont ceux d'Obama, Musk, Bezos et Apple, et publiant une arnaque de doublement de Bitcoin qui a rapporté environ 118 000 $.

Victim: Twitter, Inc.
Loss: $118.0K

Ingénierie socialeRésolu17 mars 2018

Scandale des données Facebook–Cambridge Analytica

Le cabinet de conseil politique Cambridge Analytica a obtenu de manière abusive les données personnelles de jusqu'à 87 millions d'utilisateurs Facebook via une application de quiz de personnalité, exploitant l'API tierce permissive de Facebook pour collecter les réseaux d'amis et bâtir des profils de ciblage électoral. Le scandale a entraîné une amende record de 5 milliards de dollars de la FTC.

Victim: Facebook
Loss: $5.00B
Records: 87.0M