Le PDG d’Uber a révélé mardi 21 novembre que les données de 57 millions d’utilisateurs à travers le monde, dont celles de 600 000 chauffeurs, ont été piratées à la fin 2016.
Les noms des utilisateurs ainsi que leurs adresses électroniques et numéros de téléphone mobile ont été subtilisés, a indiqué Dara Khosrowshahi, dans un communiqué. Les noms et numéros de permis de conduire des chauffeurs Uber ont en outre été piratés. Sur la base d’expertises externes, le patron affirme que l’historique des trajets, les numéros de cartes et de comptes bancaires, les numéros de sécurité sociale et les dates de naissance des utilisateurs n’auraient en revanche pas été piratés. M. Khosrowshahi, qui a été nommé à la tête d’Uber fin août, souligne qu’il a été informé « récemment » de cet incident. Il précise que deux individus ne faisant pas partie de l’entreprise seraient responsables de ce piratage. « L’incident n’a pas atteint les systèmes de l’entreprise ni son infrastructure », ajoute-t-il par ailleurs.
L’accès à des comptes GitHub
« Ce que nous savons jusqu’ à présent, c’est que les pirates ont réussi à accéder à des comptes GitHub privés contenant les identifiants et les mots de passe de certains développeurs d’Uber. Grâce à ces informations, ils ont pu se connecter aux serveurs d’Amazon (utilisés par Uber), y télécharger des millions d’enregistrements », explique Jérôme Segura, Lead Malware Intelligence Analyst chez le spécialiste en cybersécurité Malwarebytes. »L’incident chez Uber est un exemple sur la façon dont les identités des machines, quand elles ne sont protégées, peuvent entraîner des violations de données, analyse Kevin Bocek, VP of Security Strategy and Risk Intelligence chez Venafi. L’accès aux services du Cloud, tel que Amazon Web Services (AWS), qui sont sécurisés avec des clés SSH restent souvent hors du contrôle des équipes de sécurité. Malheureusement, nous avons fréquemment vu les clés SSH qui fournissent l’accès à AWS laissées sans protection dans le GitHub. » Avant d’ajouter : « Sans une puissante intelligence des SSH et des contrôles de sécurité stricts, les gens malveillants peuvent violer les clés en naviguant sous les radars de la plupart des autres contrôles de sécurité. Une faible protection SSH est comme une flotte de véhicules Uber qui n’est plus contrôlée, personne ne peut les arrêter ».
Les pirates identifiés et payés ?
Selon Bloomberg, Uber aurait payé 100 000 dollars les hackers afin qu’ils ne divulguent pas l’existence de cet incident, une information qui n’a pas été confirmée par Uber. « Au moment de l’incident, nous avons immédiatement pris les mesures pour sécuriser les données et mettre fin à l’accès non autorisé des individus. Nous avons identifié ces individus et obtenu des assurances que les données collectées seraient détruites », a expliqué M. Khosrowshahi. « Nous avons également mis en place des mesures de sécurité pour restreindre l’accès et renforcer les contrôles des comptes de notre base de données », a-t-il dit.
Le PDG d’Uber souligne qu’il s’est interrogé sur le fait que l’information n’ait été relayée qu’un an après les faits. Il estime en outre que l’entreprise a failli en n’informant pas immédiatement les victimes de ce piratage ainsi que les autorités. Il ajoute avoir pris par conséquent plusieurs mesures pour améliorer les procédures, dont une protection renforcée des données des chauffeurs victimes de cet incident. « Bien que nous n’ayons aucune preuve de fraude ou d’utilisation frauduleuse liées à cet incident, nous surveillons les comptes affectés et nous avons renforcé leur protection contre la fraude », a-t-il encore détaillé. Pour Jérôme Segura, il est « troublant que ce piratage se soit produit il y a déjà un an et ne soit annoncé qu’aujourd’hui. Cela viole très probablement de nombreuses lois sur la notification des violations de données. » Christophe Badot, directeur France de Varonis constate, lui, « une fois encore que les pénalités dérisoires n’incitent pas suffisamment les entreprises à protéger leurs données. Lorsque le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur en mai prochain, les entreprises qui manipuleront les données des citoyens de l’UE seront confrontées à des sanctions beaucoup plus sévères et à l’obligation de respecter une période de divulgation de 72 heures après la découverte d’une violation de données. » Le responsable a fait les comptes : « Dans le cadre GDPR, Uber pourrait être condamné à une amende pouvant atteindre 260 000 000 $ pour cette infraction (4 % de son chiffre d’affaires de 6,5 milliards de dollars en 2016). Lors du précédent piratage survenu en 2014, Uber avait été condamnée à une amende de 20 000 $ seulement par l’État de New York, loin d’être dissuasif pour une entreprise qui gagne des milliards de dollars. »
Une longue série de piratages
Ce piratage est le dernier d’une longue série aux Etats-Unis. Début septembre, c’est l’entreprise Equifax, qui récolte et analyse les données personnelles de clients qui sollicitent un crédit, qui avait révélé une intrusion de mi-mai à fin juillet dans ses bases de données. Les informations personnelles (noms, numéros de sécurité sociale, dates de naissance…) de plus de 145 millions de clients américains et d’autres au Canada et au Grande-Bretagne avaient alors été dérobés. L’année dernière, Yahoo! avait été la victime de piratages concernant la totalité des comptes.
Statista a regroupé dans un tableau 10 grands piratages de données. Nous le reproduisons ci-dessous.
Auteur : Juliette avec AFP
