Uber : les services opérationnels après une brèche
Le service de covoiturage Uber a déclaré vendredi que tous ses services étaient opérationnels à la suite de ce que les professionnels de la sécurité appellent une violation majeure des données, affirmant qu’il n’y avait aucune preuve que le pirate ait eu accès aux données sensibles des utilisateurs.
Mais la violation, apparemment par un pirate informatique solitaire, a mis en lumière une routine d’effraction de plus en plus efficace impliquant l’ingénierie sociale : le pirate informatique a apparemment obtenu l’accès en se faisant passer pour un collègue, incitant un employé d’Uber à rendre ses informations d’identification.
Ils ont alors pu localiser sur le réseau des mots de passe leur conférant le niveau d’accès privilégié réservé aux administrateurs système.
Les dommages potentiels étaient graves : les captures d’écran que le pirate a partagées avec des chercheurs en sécurité indiquent qu’ils ont obtenu un accès complet aux systèmes basés sur le cloud où Uber stocke des données clients et financières sensibles.
On ne sait pas combien de données le pirate a volé ni combien de temps il est resté dans le réseau d’Uber. Deux chercheurs qui ont communiqué directement avec la personne – qui s’est identifiée comme une personne de 18 ans à l’un d’eux – ont déclaré qu’ils semblaient intéressés par la publicité. Rien n’indiquait qu’ils avaient détruit des données.
Mais des fichiers partagés avec les chercheurs et largement diffusés sur Twitter et d’autres médias sociaux ont indiqué que le pirate était en mesure d’accéder aux systèmes internes les plus cruciaux d’Uber.
« C’était vraiment mauvais l’accès qu’il avait. C’est affreux », a déclaré Corbin Leo, l’un des chercheurs qui a discuté avec le pirate informatique en ligne.
La réaction en ligne de la communauté de la cybersécurité – Uber a également subi une grave violation en 2016 – a été dure.
Le piratage « n’était ni sophistiqué ni compliqué et reposait clairement sur plusieurs grandes défaillances systémiques de la culture de sécurité et de l’ingénierie », a tweeté Lesley Carhart, directrice de la réponse aux incidents de Dragos Inc., spécialisée dans les systèmes de contrôle industriel.
Leo a déclaré que les captures d’écran partagées par le pirate informatique montraient que l’intrus avait accès aux systèmes stockés sur les serveurs cloud d’Amazon et de Google où Uber conserve le code source, les données financières et les données client telles que les permis de conduire.
« S’il avait les clés du royaume, il pourrait commencer à arrêter les services. Il pourrait supprimer des choses. Il pourrait télécharger les données des clients, changer les mots de passe des gens », a déclaré Leo, chercheur et responsable du développement commercial de la société de sécurité Zellic.
Les captures d’écran partagées par le pirate informatique – dont beaucoup ont trouvé leur chemin en ligne – montraient des données financières sensibles et des bases de données internes consultées. Également largement diffusé en ligne : le pirate informatique annonçant la violation jeudi sur le système de collaboration interne Slack d’Uber.
Leo, ainsi que Sam Curry, un ingénieur de Yuga Labs qui a également communiqué avec le pirate informatique, ont déclaré que rien n’indiquait que le pirate informatique avait causé des dommages ou était intéressé par autre chose que la publicité.
« Il est assez clair qu’il est un jeune hacker parce qu’il veut ce que 99% de ce que veulent les jeunes hackers, c’est-à-dire la célébrité », a déclaré Leo.
Curry a déclaré avoir parlé jeudi à plusieurs employés d’Uber qui ont déclaré qu’ils « travaillaient pour tout verrouiller en interne » afin de restreindre l’accès du pirate. Cela comprenait le réseau Slack de la société de San Francisco, a-t-il déclaré.
Dans un communiqué publié en ligne vendredi, Uber a déclaré que « les outils logiciels internes que nous avons retirés par précaution hier sont de nouveau en ligne ».
Il a déclaré que tous ses services – y compris Uber Eats et Uber Freight – étaient opérationnels et qu’il avait informé les forces de l’ordre. Le FBI a déclaré par e-mail qu’il était « au courant de l’incident informatique impliquant Uber, et que notre assistance à l’entreprise se poursuit ».
Uber a déclaré qu’il n’y avait aucune preuve que l’intrus ait accédé à des « données utilisateur sensibles » telles que l’historique des trajets, mais n’a pas répondu aux questions de l’Associated Press, notamment sur le fait que les données étaient stockées cryptées.
Curry et Leo ont déclaré que le pirate informatique n’avait pas indiqué la quantité de données copiées. Uber n’a recommandé aucune action spécifique à ses utilisateurs, telle que la modification des mots de passe.
Le pirate a alerté les chercheurs de l’intrusion jeudi en utilisant un compte Uber interne sur le réseau de l’entreprise utilisé pour publier les vulnérabilités identifiées via son programme de primes aux bogues, qui rémunère les pirates éthiques pour débusquer les faiblesses du réseau.
Après avoir commenté ces messages, le pirate a fourni une adresse de compte Telegram. Curry et d’autres chercheurs les ont ensuite engagés dans une conversation séparée, où l’intrus a fourni les captures d’écran comme preuve.
L’AP a tenté de contacter le pirate du compte Telegram, mais n’a reçu aucune réponse.
Les captures d’écran publiées en ligne semblent confirmer ce que les chercheurs ont dit que le pirate a affirmé : qu’ils ont obtenu un accès privilégié aux systèmes les plus critiques d’Uber grâce à l’ingénierie sociale.
Le scénario apparent :
Le pirate a d’abord obtenu le mot de passe d’un employé d’Uber, probablement par hameçonnage. Le pirate a ensuite bombardé l’employé de notifications push lui demandant de confirmer une connexion à distance à son compte. Lorsque l’employé n’a pas répondu, le pirate l’a contacté via WhatsApp, se faisant passer pour un collègue du service informatique et exprimant son urgence. En fin de compte, l’employé a cédé et a confirmé d’un clic de souris.
L’ingénierie sociale est une stratégie de piratage populaire, car les humains ont tendance à être le maillon le plus faible de tout réseau. Les adolescents l’ont utilisé en 2020 pour pirater Twitter et il a été plus récemment utilisé dans les hacks des entreprises technologiques Twilio et Cloudflare, a déclaré Rachel Tobac, PDG de SocialProof Security, qui se spécialise dans la formation des travailleurs à ne pas être victimes d’ingénierie sociale.
« La dure vérité est que la plupart des organisations dans le monde pourraient être piratées de la même manière qu’Uber vient d’être piraté », a tweeté Tobac. Dans une interview, elle a déclaré que « même les personnes très averties en technologie tombent chaque jour sous le charme des méthodes d’ingénierie sociale ».
« Les attaquants s’améliorent pour contourner ou détourner la MFA (authentification multifacteur) », a déclaré Ryan Sherstobitoff, analyste principal des menaces chez SecurityScorecard.
C’est pourquoi de nombreux professionnels de la sécurité préconisent l’utilisation de clés de sécurité physiques dites FIDO pour l’authentification des utilisateurs. Cependant, l’adoption de ce matériel a été inégale parmi les entreprises technologiques.
Le piratage a également mis en évidence la nécessité d’une surveillance en temps réel dans les systèmes basés sur le cloud pour mieux détecter les intrus, a déclaré Tom Kellermann de Contrast Security. « Beaucoup plus d’attention doit être accordée à la protection des nuages de l’intérieur », car une seule clé principale peut généralement déverrouiller toutes leurs portes.
Certains experts se sont demandé à quel point la cybersécurité s’était améliorée chez Uber depuis son piratage en 2016.
Son ancien responsable de la sécurité, Joseph Sullivan, est actuellement jugé pour s’être prétendument arrangé pour payer 100 000 dollars américains à des pirates informatiques pour dissimuler ce braquage de haute technologie, lorsque les informations personnelles d’environ 57 millions de clients et de chauffeurs ont été volées.