Le piratage d’Uber : une sonnette d’alarme pour les comités exécutifs et conseils d’administration

Les premières informations dont nous disposons indiquent que c’est un hacker de 18 ans qui s’est introduit dans le système d’information d’Uber. Et ce en utilisant une approche d’ingénierie sociale, c’est-à-dire qu’il a contacté un employé d’Uber via un SMS, en se faisant passer pour un membre de l’équipe de sécurité informatique du groupe. Cet employé lui aurait communiqué l’identifiant et le mot de passe d’accès au Réseau Privé Virtuel interne à Uber (VPN).

À partir de là, le hacker a pu naviguer dans tout le réseau interne d’Uber et découvrir rapidement des scripts dont l’un contenait, malheureusement, l’identifiant et le mot de passe d’accès à un compte administrateur sur un système très sensible.

Grâce à cet accès, il s’est ouvert les portes à tous les secrets d’Uber. D’après certaines captures d’écran qu’il a publiées, il a pris le contrôle d’éléments cruciaux comme le dépôt de code source, la messagerie interne, les environnements AWS et Google Cloud, Google Drive, mais aussi les rapports de vulnérabilités effectués par des entreprises externes à la demande d’Uber qu’il a pris soin de télécharger avant d’être bloqué, et qui pour certaines ne sont pas encore corrigées, ouvrant ainsi de nouvelles portes à des méfaits dans un futur proche, tant pour Uber que pour ses utilisateurs.

Il a aussi communiqué son méfait sur la messagerie Slack de l’entreprise, ce qui a été pris pour une blague interne par de nombreux employés. Messagerie qui a été fermée juste après. Et il a conclu par un message très direct : « Uber sous-paye les chauffeurs ». Ce qui laisse à penser que ses motivations pourraient être « politiques ».

Vendredi, Uber a communiqué que les données sensibles des utilisateurs ne semblaient pas avoir été dérobées. Ses systèmes fonctionnant correctement. Sans donner plus de détails.

Cependant, il faut rester très prudent, car des experts ont mentionné qu’avec le niveau d’accès qu’il avait obtenu, il était tout à fait possible qu’il ait eu accès à des données utilisateurs. Il est donc trop tôt pour conclure sur ce sujet, mais une chose est certaine, c’est que cet événement va porter un préjudice très grave à Uber, et si, qui plus est, des données utilisateurs s’avéraient avoir été volées, les conséquences pourraient être désastreuses, car n’oublions pas, entre autres, que les cartes de paiement des utilisateurs sont stockées chez Uber…

Et cette cyberattaque renvoie à un autre événement révélé par Uber en juillet dernier. En 2016, des cyber criminels avaient volé les données de 57 millions d’utilisateurs. La société n’avait pas communiqué sur ce forfait et avait payé les cyber criminels afin qu’ils détruisent les données…

Aujourd’hui, et depuis 2018, toutes les sociétés américaines et européennes ont un devoir de communication et d’information dès qu’elles subissent une attaque, sous peine de sanction.

Cependant, au dire de certains experts, cette dernière attaque aurait pu être évitée. En effet, il semblerait que la faille soit dans le système d’authentification à multiple facteurs, pas assez robuste chez Uber. Le système d’authentification multiple FIDO2, qui ne semble pas avoir été mis en oeuvre chez Uber, permet de vérifier que l’origine de la demande d’authentification vient d’un serveur interne et donc toute demande émanant de l’extérieur serait bloquée, avant même que le pirate ait l’opportunité de rentrer les identifiants qu’il a dérobés.

Aussi, l’employé a communiqué des informations très sensibles en répondant à un SMS sans aucune vérification, ce qui est à l’origine de l’attaque. Mais il ne faut pas lui jeter la pierre, l’autorité apparente est respectée dans les entreprises et nous avons ici affaire à un enjeu de formation, sensibilisation et mise en place de procédures pour éviter ces incidents. Tous les jours, des « arnaques au président » ont lieu et impliquent des sommes colossales.

Dès lors, il faut espérer que cet événement soit perçu comme un sonnette d’alarme au plus haut niveau. Chaque société est concernée et chaque employé, au delà des experts en cybersécurité, a un rôle à jouer. Mais cela ne peut se faire sans une volonté au plus haut niveau de mettre en oeuvre une politique de sensibilisation, de formation et d’investissement permanent dans la protection des actifs de l’entreprise, de ses employés et clients. Oui, cela a un coût, oui cela ne rapporte pas de revenus à priori, mais ce sujet de cybercriminalité et protection doit être une priorité pour les comités exécutifs et conseils d’administration, sous peine de faire face à des conséquences désastreuses en cas d’attaque majeure.

Le monde dans lequel nous vivons ne nous laisse malheureusement pas le choix.