uber fuite données

Tout savoir sur la cyberattaque Uber : un ado hacker met l’entreprise à genoux

Bastien L. 20 septembre 2022 5 minutes de lecture Sécurité

Uber est victime d'une cyberattaque menée par un hacker âgé de seulement 18 ans. Découvrez tout ce que vous devez savoir sur cette fuite de données.

Le 16 septembre 2022, Uber a annoncé sur ouvrir une enquête au sujet d'un incident de cybersécurité. Ses systèmes ont été piratés par un hacker ayant obtenu l'accès administrateur aux outils internes de l'entreprise, dont les comptes et Google Cloud Platform.

Selon le New York Times, la célèbre firme de covoiturage aurait désactivé plusieurs systèmes internes dont son serveur Slack le temps de mener l'enquête sur cette grave intrusion. Par la suite, Uber a également confirmé avoir désactivé des systèmes temporairement par précaution.

Un message du hacker pris pour une blague sur le Slack d'Uber

En effet, le cybercriminel aurait signalé sa présence aux employés d'Uber en postant un message sur le Slack de l'entreprise : « j'annonce que je suis un hacker et que Uber a subi une fuite de données ». Des captures d'écran du message circulent sur Twitter.

Par la suite, le hacker aurait listé les informations sur l'entreprise auxquelles il a pu accéder. Il a également posté un hashtag accusant Uber de ne pas suffisamment rémunérer ses employés…

En lisant ce message, de nombreux employés ont d'abord cru à une blague. Les réactions sur le Slack incluent des émojis de sirènes et de popcorn, et même le GIF « it's happening ».

L'ingénieur en sécurité Sam Curry de Yuga Labs affirme qu'un employé Uber lui a confié que plusieurs membres de l'entreprise ont interagi avec le hacker en croyant au canular

Un hacker de 18 ans derrière la cyberattaque ?

Interrogé par le New York Times, le hacker a révélé être âgé de 18 ans et avoir piraté Uber uniquement pour s'amuser. Il envisage toutefois de dévoiler le code source de l'entreprise…

Le 19 septembre 2022, après quelques jours d'enquête, Uber a révélé que le hacker est associé au groupe Lapsus$. Ce groupe est notamment connu pour avoir mené une attaque de ransomware contre le Ministère de la Santé du Brésil en décembre 2021. Les hackers avaient alors compromis les données de vaccination Covid-19 de millions de citoyens du pays.

Par ailleurs, ce groupe de hackers a aussi attaqué plusieurs entreprises célèbres dont Nvidia, Samsung, ou Vodafone. Plusieurs membres ont été arrêtés par la police de Londres début 2022, et tous étaient des adolescents.

Le 18 septembre 2022, un hacker a dévoilé le code source et 90 vidéos du jeu vidéo GTA 6. Ces données auraient été volées à Rockstar Games, grâce à l'ingénierie sociale. Le cybercriminel affirme être aussi l'auteur du piratage de Uber

Ingénierie sociale ou mot de passe sur le Dark Web ?

Dans une conversation avec le chercheur en cybersécurité Corben Leo, le hacker a révélé avoir obtenu l'accès aux systèmes de Uber à l'aide d'identifiants de connexion obtenus auprès d'un employé grâce à l'ingénierie sociale. Il s'est fait passer par un membre de l'équipe IT de l'entreprise afin de piéger sa victime.

C'est ce qui lui a permis d'accèder à un VPN interne de l'entreprise, puis de trouver les scripts PowerShell sur l'intranet d'Uber contenant les identifiants de gestion d'accès. Il a ainsi pu infiltrer les comptes AWS et G Suite.

Le 19 septembre 2022, Uber a précisé que le hacker a en fait acheté le mot de passe d'un sous-traitant sur le Dark Web. Les identifiants du sous-traitant en question auraient été exposés par un malware ayant infecté son laptop.

Le cybercriminel aurait ensuite tenté à plusieurs reprises de se connecter au compte. Toutefois, grâce à l'authentification à deux facteurs, le sous-traitant recevait une requête d'approbation à chaque tentative et bloquait l'accès en refusant. Malheureusement, il a finalement accepté l'une des requêtes et le hacker a pu se connecter.

Uber a contraint ses employés et sous-traitants à changer leurs mots de passe, en restreignant leur accès aux systèmes internes. Les clés d'accès ont également été réinitialisées. La base de code a été verrouillée pour empêcher tout changement.

« Une compromission totale »

Selon Sam Curry, cet incident de sécurité semble être « une compromission totale ». D'après lui, « c'est peut-être un enfant qui a infiltré Uber et ne sait pas quoi faire avec ça, et s'amuse comme un petit fou ».

De son côté, Uber affirme qu'il n'y a « aucune preuve » que des informations privées d'utilisateurs de ses applications ont été compromises lors de cette intrusion. Dans un communiqué, la firme précise aussi que tous ses produits sont opérationnels et que les autorités ont été alertées.

Pour le moment, les utilisateurs ne sont donc pas invités à changer leurs mots de passe ou à prendre de mesure de sécurité. Il ne s'agit a priori pas d'une fuite de données.

Selon Uber, le hacker a téléchargé des messages internes de Slack et des informations en provenance d'un outil interne utilisé par l'équipe de finance de l'entreprise pour gérer les factures. La firme précise être en train d'analyser ces téléchargements.

En revanche, il n'a pas accédé aux systèmes en production sur lesquels sont basées les applications. Il n'a pas non plus pu accéder aux comptes d'utilisateurs ou aux bases de données hébergeant les informations personnelles telles que les numéros de carte, les données de compte bancaire ou l'historique des trajets.

La firme précise chiffrer les informations de carte de crédit et les données de santé pour ajouter une couche de protection supplémentaire. Le hacker a aussi pu consulter le tableau de bord de Uber sur HackerOne, sur lequel les chercheurs en sécurité signalent les bugs et vulnérabilités, mais toutes les failles présentées ont déjà été corrigées.

La cybersécurité d'Uber est-elle insuffisante ?

Ce n'est pas la première fois qu'Uber est victime des hackers. En octobre 2016, la firme a subi une cyberattaque massive exposant les données confidentielles de 57 millions de clients et de chauffeurs. Récemment, l'entreprise a admis avoir caché ce piratage dans le cadre d'un accord avec le Department of Justice pour éviter les poursuites.

Les hackers avaient utilisé des identifiants volés pour accéder au dossier de code source et obtenir la clé d'accès propriétaire. Cette clé a ensuite été utilisée pour copier de larges quantités de données associées aux utilisateurs et aux chauffeurs Uber. Près de 57 millions de données d'utilisateurs et 600 000 numéros de permis de conduire de chauffeurs avaient été divulgués.

Le Chief Security Officer d'Uber de l'époque, Joe Sullivan, a été jugé complice de cette dissimulation et trainé en justice pour avoir tenté de cacher une fuite de données auprès de la Federal Trade Commission et des dirigeants d'Uber. Le procès a commencé au début du mois de septembre 2022.

Malheureusement, cette nouvelle cyberattaque aurait difficilement pu être évitée. Il est possible de former les employés à détecter les tentatives de phishing et d'ingénierie sociale, mais les sous-traitants restent une surface d'attaque impossible à sécuriser…

La firme est en contact avec le FBI et le Justice Department des États-Unis pour poursuivre l'investigation, et avec plusieurs experts en forensique. Elle promet également de profiter de cette opportunité pour renforcer sa politique, ses pratiques et ses technologies de cybersécurité afin de se protéger contre les futures attaques…

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  Copyright © 2024 Groupe Publithings. Tous droits réservés.