Piratage Uber : les données des utilisateurs compromises ?
Uber est victime d'une cyberattaque de grande ampleur. Un jeune pirate a réussi s'introduire dans le système de communication interne de l'entreprise et à récupérer des données sensibles. L'étendue des dégâts reste encore à déterminer...
Les grandes entreprises sont des cibles de choix pour les pirates, car l'amas des données personnelles de leurs utilisateurs constituent une véritable mine d'or. Uber vient – encore une fois – d'en faire les frais. Le géant américain, spécialiste du transport par VTC (véhicule de tourisme avec chauffeur) est en effet victime d'une cyberattaque inédite. "Nous sommes actuellement confrontés à un problème de cybersécurité. Nous avons pris contact avec les forces de l'ordre et nous publierons davantage d'informations dès qu'elles seront disponibles", a indiqué la société sur Twitter dans la nuit du 15 au 16 septembre 2022. Le New York Times a mené l'enquête et découvert qu'un hacker – qui serait aussi derrière la fuite massive du jeu GTA 6 – avait réussi à s'introduire sur le compte Slack – un logiciel de communication interne – d'un employé, et a alors envoyé un message aux autres salariés afin de les informer – ou plutôt de se vanter – qu'il avait réussi à accéder aux données de l'entreprise. L'étendue exacte des dégâts n'est pas encore confirmée, mais a priori les données les plus sensibles ne sont pas tombées entre de mauvaises mains.
We are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available.
— Uber Comms (@Uber_Comms) September 16, 2022
Piratage Uber : une cyberattaque aux conséquences non déterminées
C'est via un simple SMS qui tout a commencé. Le pirate a contacté un des employés d'Uber en se faisant passer pour un responsable de l'informatique de l'entreprise – une technique classique d'ingénierie sociale – et l'a convaincu de lui donner le mot de passe permettant d'accéder au réseau privé virtuel (VPN) de l'entreprise, où il a trouvé de nouveaux identifiants de très haut niveau pour accéder aux services utilisés par la firme, comme sa messagerie interne Slack, son compte Amazon Web Services – spécialisé dans le stockage cloud – et même son système de suivi des dépenses. Il a ensuite pris des captures d'écran pour les poster sur Slack, avec le message suivant : "J'annonce que je suis un hacker et qu'Uber a subi une violation de données."
Uber a immédiatement mis hors ligne ses systèmes de communication, dont Slack. Sam Curry, un ingénieur de Yuga Labs qui a communiqué avec le pirate, a déclaré au New York Times qu'il "semble que le pirate ait compromis beaucoup de choses. Cela inclut un accès complet aux environnements cloud hébergés par Amazon et Google, où Uber stocke son code source et les données de ses clients." Le hacker a également contacté le journal, en lui envoyant par courriel des images des courriers électroniques, des référentiels de code et des informations contenues dans le cloud. Après vérifications, Uber se veut rassurant : "avant toute chose, nous n'avons pas constaté d'accès à nos systèmes en production […] qui animent nos apps, ni aucun compte utilisateur, informations bancaires utilisateur, ou historique des courses. Nous chiffrons par ailleurs les données de cartes de paiement ainsi que les données personnelles de santé, ce qui ajoute un niveau supplémentaire de protection". Les données les plus sensibles auraient été protégées donc.
Piratage Uber : l'œuvre d'un hacker en série
Le ou les hackers derrières cette fuite seraient les mêmes qui ont piraté Rockstar Games quelques jours plus tard, faisant fuiter le jeu GTA 6. Uber a en effet dévoilé dans un autre communiqué qu'il soupçonnait le groupe Lapsus$ d'être derrière la cyberattaque. Lapsus$ a recours à des attaques similaires et a été très actif depuis l'année dernière, en piratant notamment Microsoft, Cisco, Samsung, Nvidia, Okta, mais aussi Rockstar Games ! En effet, "il a été rapporté ce week-end que ce même acteur avait pénétré chez le fabricant de jeux vidéo Rockstar Game. Nous travaillons en étroite collaboration avec le FBI et le ministère américain de la justice sur cette affaire et nous continuerons à soutenir leurs efforts."
Le pirate a profité de l'attaque pour mettre en cause la faible sécurité d'Uber – et demander que les chauffeurs soient mieux rémunérés. Il faut dire que ce n'est pas la première fois que l'entreprise se trouve dans la tourmente. Un procès vient justement de s'ouvrir aux États-Unis contre Joe Sullivan, l'ancien responsable de sécurité de l'entreprise. En 2016, des pirates avaient dérobé les données personnelles de 57 millions d'utilisateurs et de chauffeurs d'Uber. Ils avaient demandé la somme de 100 000 dollars pour effacer les données volées et ne pas les dévoiler publiquement, rançon que la firme s'était finalement résolue à payer. Une décision qui va à l'encontre des lois américaines, puisque les entreprises sont dans l'obligation d'informer leurs clients lors d'un vol de données de cette importance.