Le jeudi 15 septembre 2022 aurait pu être une journée habituelle pour les employés d’Uber. Cependant, ce que les employés pensaient qu’il s’agit d’une blague au début va bouleverser la journée pour la compagnie.
« Je déclare que je suis un hacker et que Uber vient de subir une violation de données », ainsi commence le message reçu par les employés sur l’application Slack, utilisée pour communiquer en interne et avec les partenaires d’Uber. L’expéditeur prétendait aussi avoir eu accès à certains services utilisés par l’entreprise tels que Slack, Confluence, et Phabricator.
Le soir du même jour, Uber a confirmé qu’il faisait face à un incident de cybersécurité, qu’il était en contact avec les forces de l’ordre, et qu’il allait fournir des mises à jour plus tard.
Le lendemain, Uber déclare ne pas avoir de preuves que les données utilisateur sensibles soient touchées par l’attaque. Mais il s’est avéré rapidement que le problème était plus profond que ne le prétendait Uber.
L’hacker a partagé, quelques heures plus tard, des captures d’écran qui prouvent, selon des experts de la cybersécurité, l’étendu de la catastrophe de sécurité informatique à laquelle faisait face la compagnie. Les systèmes internes, des données financières confidentielles, et des comptes AWS de l’entreprise ont été compromis.
Le pirate a décrit le système de sécurité d’Uber d’affreux, et qu’il l’avait attaqué, ayant 18 ans et travaillant seul, pour le plaisir. Il a expliqué qu’il a réussi à pirater les systèmes d’Uber en envoyant plusieurs notifications à une cible interne, un employé de la compagnie, lui demandant de se connecter avec l’authentification multi facteur. Ensuite, il a contacté la cible par WhatsApp, en prétendant être un agent du service informatique d’Uber, et lui a suggéré de se connecter comme demandé afin que les notifications s’arrêtent.
Ceci représente une technique d’ingénierie sociale, appelée MFA fatigue, dans laquelle un pirate qui dispose du nom de l’utilisateur et du mot de passe d’une victime, provoque un flux de demandes d’authentification sur l’appareil de la victime dans l’espoir que cette dernière perde patience et accepte la connexion. Une fois la connexion est acceptée, l’appareil du pirate s’ajoute à la liste de confiance et peut être utilisée pour se connecter au compte de la victime.
Le pirate d’Uber a eu accès à PowerShell, et il est tombé sur un script contenant des identifiants de connexion cryptés pour le compte d’un gestionnaire de privilèges Thycotic. Ayant contrôle sur ce compte, le pirate a eu accès aux services cloud de l’entreprise, notamment les panneaux de contrôle des services cloud d’Amazon AWS, le service d’entreprise Google Workspace, le service de gestion des identités et des accès OneLogin, ainsi que certaines informations sensibles (les états financiers internes de l’entreprise, entre autres).
Ce type d’incidents nous rappelle qu’aucune entreprise, y compris les plus grandes et celles qui disposent des meilleures ressources, n’est à l’abris des menaces à la cybersécurité. Ce n’est pas la première fois qu’Uber subisse des violations de cet étendu, le plus fameux et celui de 2016. Les entreprises sont de plus en plus ciblées par des attaques cybernétiques, mais les fuites de données ne sont pas toujours traitées avec transparence.
On ne peut s’empêcher de se demander pourquoi les entreprises semblent si vulnérables au piratage informatique. Prênnent-telles la cybersécurité à la légère? On ne peut pas dire qu’elles manquent de moyens après tout. Et si les plus grandes entreprises ne sont pas capables de se protéger, comment font-elles les petites entreprises alors?