Uber : Une nouvelle grosse tuile pour Uber ? L’entreprise reconnaît être la victime d’un « incident de sécurité ». D’après plusieurs experts, le pirate aurait eu accès à une somme de données sensibles considérable.
C’est un piratage qui pourrait avoir de sérieuses répercussions sur Uber. Le réseau informatique de la célèbre entreprise de VTC a été compromis hier. Le hacker -qui a dit au New York Times être âgé de 18 ans seulement- a pu accéder à une quantité phénoménale d’informations sensibles.
D’après des captures d’écran réalisées par le pirate et notamment publiées sur Twitter, une bonne partie des ressources informatiques de l’entreprise sont passées sous son contrôle : dépôts de code source, messagerie interne, espace de stockage Google Drive, environnements Amazon Web Services et Google Cloud, données financières… La liste est longue. « Il a plus ou moins un accès complet à Uber » a indiqué l’ingénieur en sécurité Sam Curry au New York Times, premier média à avoir évoqué l’affaire.
Le hacker a annoncé son forfait sur la messagerie Slack de l’entreprise. « Hello @ici. Je vous informe que je suis un hacker et qu’Uber vient de subir une fuite de données » peut-on lire dans son message. Il détaille ensuite les services qu’il a pu détourner… Avant de conclure par un hashtag pour le moins direct : « Uber sous-paye les chauffeurs ».
Une sortie qui fait croire à certains experts que le piratage aurait une motivation politique plutôt que financière, même s’il est beaucoup trop tôt pour tirer des conclusions hâtives. On constate au passage qu’au vu des réactions des employés de la firme, beaucoup ont cru à une blague. La direction d’Uber a, depuis, temporairement interdit l’usage de Slack.
Le New York Times a pu s’entretenir avec le hacker, sans doute par le biais de son adresse Telegram, qu’il a diffusée en ligne. Celui-ci lui a résumé les différentes étapes qui lui ont permis de prendre le contrôle des services de la firme.
Un hack presque trop facile
Celui qui se fait appeler « Tea Pot » sur Telegram a d’abord usé d’ingénierie sociale pour tromper un employé de la firme : il lui aurait envoyé un message texte en se faisant passer pour un membre de l’équipe de sécurité informatique du groupe. Cela lui aurait permis d’accéder au VPN de l’entreprise et donc à son intranet.
Dans un second temps, comme le rapporte le « hacker éthique » Corben Leo, Tea Pot aurait découvert plusieurs scripts Powershell dans un partage réseau. Grave problème, l’un de ces scripts recelait une information bien trop précieuse pour être ainsi partagée aux quatre vents, sans aucun chiffrement : la combinaison identifiant/mot de passe d’un compte administrateur d’un service particulièrement sensible (Thycotic, un service de gestion des comptes à privilèges). Avec ce sésame, il a ensuite pu déverrouiller l’accès à tous les secrets d’Uber.
Uber a réagi de façon laconique à ce piratage. « Nous faisons face actuellement à un incident de cybersécurité. Nous sommes en contact avec les forces de l’ordre et publierons des mises à jour supplémentaires dès qu’elles seront disponibles ».
Au vu de l’étendue du piratage, les conséquences pour l’entreprise et peut-être ses utilisateurs pourraient être désastreuses : le pirate a aisément pu dérober des données confidentielles, des codes sources, et pourquoi pas des données clients. Qu’il pourrait publier, ou revendre à d’autres cybercriminels.
Autre grave souci, le hacker a aussi eu accès à toutes les données HackerOne, d’Uber. Cette plate-forme de « bug bounty » permet à des hackers éthiques de remonter des vulnérabilités aux entreprises participantes, contre monnaie sonnante et trébuchante. Des données qui doivent évidemment rester confidentielles avant que les failles soient colmatées. Or, d’après une source anonyme de Bleeping Computer, Tea Pot a pris soin de télécharger tous les rapports de vulnérabilité avant de se voir couper l’accès. Et parmi ces rapports, il y aurait des vulnérabilités… non corrigées. Elles pourraient provoquer de nouveaux soucis de sécurité à Uber et ses utilisateurs dans le futur.
Source : The New York Times