Les experts en cybersécurité sont unanimes. Le cyberpirate a « simplement » utilisé la technique de l’ingénierie sociale pour pénétrer facilement dans le SI du VTC et livreur de repas…
2014, 2016, 2022, c’est la troisième cyberattaque connue contre Uber. Le pirate qui a pénétré le réseau informatique de la société mondiale de VTC n’aurait que 18 ans.
La cyberattaque qui touche Uber depuis jeudi soir a conduit le VTC et le livreur de repas à mettre hors ligne une bonne partie de ses systèmes informatiques. Sur Twitter, la société a indiqué « répondre actuellement à un incident de cybersécurité ». Le New York Times, qui est en contact avec des experts en cybersécurité, a indiqué que le pirate qui a pénétré le réseau aurait simplement réussi à obtenir un mot de passe via un SMS envoyé à un employé d’Uber, en prétendant être un responsable des technologies de l’information de l’entreprise, donnant accès au système informatique.
Un seul mot de passe pour un accès complet
“Aujourd’hui, un adolescent est arrivé, grâce au seul social engineering, à perturber l’activité de l’un des géants internationaux : Uber. Aussi talentueux soit-il, le jeune hacker a « simplement » usurpé l’identité du responsable IT, soulignant une fois encore ô combien la gestion des identités, des privilèges et des systèmes d’authentification multifactoriels sont indispensables pour veiller à sa sécurité. Mais ne vous y trompez pas, n’importe quelle entreprise aurait pu se trouver à la place d’Uber », commente Julien Cassignol, Director of Sales Engineering chez Wallix, un spécialiste du PAM (gestion des accès à privilèges).
Pour Chris Vaughan, VP Technical Account Management, EMEA, chez Tanium (sa plateforme permet de visualiser, contrôler et sécuriser en temps réel l’intégralité des postes de travail et des serveurs), « Il s’agit d’un autre exemple d’une attaque relativement simple qui a provoqué un incident majeur et des dommages potentiellement importants pour la réputation de l’organisation victime. L’attaquant a utilisé l’ingénierie sociale sur un employé afin d’accéder à leur réseau via un VPN. »
Une fois entré…
Une fois entré, le pirate « a pu trouver des mots de passe chiffrés dans des scripts et les a utilisés pour infiltrer plusieurs parties du réseau. Il a notamment pu accéder à leurs outils de gestion administrative ainsi qu’à plusieurs bases de données. Cela soulève quelques interrogations. L’une d’elle est qu’un seul mot de passe chiffré a été utilisé pour accéder à leur système de gestion des accès privilégiés (PAM), donnant ainsi accès à toutes les zones de l’environnement informatique associées, ajoute Chris Vaughan.
Kevin Reed, le Chief Information Security Officer (CISO) d’Acronis, qui propose des solutions de sauvegarde et de protection des données, précise : « Une fois sur le réseau interne, les attaquants ont trouvé des informations d’identification à haut niveau de privilège sur un fichier partagé du réseau et les ont utilisées pour accéder à tous les systèmes, y compris les systèmes de production, la console EDR corp, l’interface de gestion Uber Slack…» Ce serveur de messagerie interne Slack a de fait été utilisé par le pirate pour poster un message : « J’annonce que je suis un hacker et qu’Uber a subi une violation de données ». Des rapports de vulnérabilités internes seraient également concernés.
Des accès à toutes les autres informations d’identification
Mackenzie Jackson, spécialiste de la protection des secrets dans le code chez GitGuardian (une plateforme qui détecte les failles dans le code source), souligne les dangers : « Trouver les informations d’identification de l’administrateur d’un système de gestion d’accès revient à trouver un passe-partout pour chaque pièce et système d’alarme, dans chaque bâtiment, dans chaque pays qu’une organisation. Les secrets en clair comme les informations d’identification trouvées par l’attaquant sont les joyaux de la couronne des organisations. Ils permettent d’accéder à l’infrastructure la plus critique d’une entreprise et les attaquants les recherchent toujours activement. Dans le cas d’Uber, les attaquants ont trouvé des informations d’identification qui leur donnaient accès à toutes les autres informations d’identification, ce qui est vraiment le pire des scénarios. »
Des données personnelles piratées ?
« Nous n’avons aucune preuve que l’incident impliquait l’accès à des données utilisateur sensibles (comme l’historique des voyages) », indique Uber le vendredi 16 septembre.
« A ce stade, il est difficile de dire s’il y a des motivations d’exfiltration de données puisque le pirate passe beaucoup de temps à se vanter de l’attaque ce qui laisserait croire qu’il recherche surtout la célébrité. Même s’il semblait en avoir la possibilité technique », relève Mickael Walter, Analyste Sécurité au CERT (Computer Emergency Response Team) d’I-Tracing, un cabinet de conseil et d’ingénierie en cybersécurité. Certes, on ne sait pas pour le moment si des données personnelles de clients et de chauffeurs ont été volées, mais Kevin Reed, le CISO d’Acronis, s’inquiète : « Ce qui est pire, c’est que si vous avez vos données dans Uber, il y a de fortes chances que beaucoup de personnes y aient accès. Par exemple, s’ils connaissent votre adresse e-mail, ils peuvent alors savoir où vous vivez. Cet attaquant particulier n’a peut-être pas exfiltré les données, mais il n’y a aucun moyen de le savoir. »
En octobre et novembre 2016, des pirates informatiques avaient mis la main sur des données à caractère personnel de quelque 57 millions d’usagers et chauffeurs d’Uber dans le monde entier. Le géant américain avait dissimulé cette information jusqu’en novembre 2017.
