Piratage d'Uber : l'entreprise et ses clients auraient échappé au pire

Quatre jours après avoir été victime d'un gros incident de cybersécurité, Uber a donné les premières conclusions de son enquête interne, avec une très bonne nouvelle : les données des clients auraient été épargnées par la cyberattaque. Mais en parallèle, les intentions du hacker restent floues. Explications.
François Manens
(Crédits : Mike Blake)

Vendredi dernier, un pirate sous le pseudo "Tea Pot" ("Théière" en français) révélait son intrusion réussie dans le système informatique de Uber. Particulièrement bavard pour un hacker, il s'est efforcé de faire le plus de bruit possible autour de son coup d'éclat. Il a notamment publié un message sur le Slack (outil de communication interne) de l'entreprise puis répondu aux questions de nombreux experts en cybersécurité, tout en fournissant des preuves du piratage d'un certain nombre de logiciels internes.

Mais de très nombreuses questions restaient en suspens, à la fois sur la portée de l'attaque, les intentions du malfaiteur, ou encore les effets de l'incident sur les clients d'Uber. Pour lever certains doutes, l'entreprise a donc donné mardi les premiers résultats de son enquête interne. Elle se montre prudente dans sa formulation et rappelle que l'investigation n'est pas finie, mais elle fait part de bonnes nouvelles : ni les données des utilisateurs ni le code de ses applications ne seraient touchés.

Lire aussiPiratage spectaculaire d'Uber : quatre questions pour tout comprendre

Les clients épargnés ?

D'après l'enquête menée par Uber, bien que les pirates ont accédé aux systèmes internes de l'entreprise, ils n'auraient pas compromis les environnements de production des applications, c'est-à-dire que les logiciels en contact direct avec les clients seraient épargnés. Une bonne nouvelle, car les malfaiteurs auraient pu y insérer des souches de code malveillants ou des liens piégés afin d'infecter les clients des différents services de l'entreprise (VTC, livraison de nourriture...). Uber rappelle d'ailleurs que ses applications n'ont pas cessé de fonctionner, et que seul son service client a été temporairement affecté à cause de l'arrêt provisoire d'outils internes.

Côté données, le géant des VTC précise que le hacker n'a pas eu accès aux comptes des utilisateurs, ni aux bases de données qui comportent des "informations sensibles" (numéro de carte bancaire, informations de comptes bancaires, historique des trajets...), sans se prononcer de manière plus générale sur les données personnelles (noms, adresses, numéros de téléphone).

Finalement, l'intrus n'aurait téléchargé que des messages du Slack interne et des données de l'outil de gestion des factures de l'entreprise. A ce butin s'ajoutent les identifiants de plusieurs employés, récupérés dans l'attaque. Uber semble donc s'en sortir à moindre mal, mais les risques liés aux informations récupérées par le hacker restent à déterminer.

Un piratage sans logiciel malveillant

Uber confirme indirectement dans son communiqué une grande partie des propos tenus par le hacker sur sa méthode d'attaque. Après avoir obtenu les identifiants de sa victime -soit par un achat sur des forums spécialisés, soit par le biais d'un phishing réussi-, il aurait multiplié les tentatives de connexion au compte interne de la victime. Or, Uber a mis en place une sécurité supplémentaire (très commune), la double authentification (ou 2FA), de sorte que les identifiants ne suffisent pas à entrer sur le compte.

En conséquence, à chaque tentative de connexion du hacker, la victime recevait une notification sur son smartphone, qu'elle devait accepter pour valider la connexion à son compte. Elle n'aurait pas validé les premières, mais aurait fini par céder sous le nombre. Le hacker a précisé qu'il s'était fait passer pour un employé du service informatique d'Uber sur WhatsApp, et aurait évoqué un bug de l'application d'authentification pour pousser la victime à la faute. Ce détail n'a pas été commenté par l'entreprise.

Comme souvent, c'est le compte d'un employé externe qui est mis en cause. Une fois celui-ci compromis, l'attaquant a pu accéder à d'autres comptes d'employés, puis à plusieurs logiciels de l'entreprise. Le tout, sans utiliser de logiciel malveillant. De simples méthodes de manipulation éprouvées (connues sous le nom "d'ingénierie sociale" dans le jargon) auront suffi.

Uber accuse le gang Lapsus$

Vendredi, le hacker se présentait sous le nom Tea Pot, affirmait avoir 18 ans, et ne se revendiquait d'aucun groupe. Plusieurs spécialistes suggéraient alors qu'il pouvait être un simple jeune hacker qui s'amusait de son coup réussi. Mais entre temps, un autre compte au nom similaire, "Tea Pot Uber Hacker", a revendiqué une cyberattaque réussie contre Rockstar Games, l'éditeur du jeu vidéo très attendu GTA VI.

Avec les éléments de son enquête, Uber estime que Tea Pot est affilié au groupe Lapsus$, un des gangs de cybercriminels qui a fait couler beaucoup d'encre depuis le début de l'année. Sur les 8 derniers mois, il compte parmi ses victimes Microsoft, Ubisoft, Nvidia, Samsung ou encore le gestionnaire d'accès Okta. Contrairement aux rançongiciels qui chiffrent les données de leurs victimes, Lapsus$ se contente de les dérober. Mais ses membres (réputés très jeunes) opèrent ensuite de la même manière, en exigeant une rançon pour supprimer leur butin, et en faisant du chantage à la divulgation de données.

Cette attribution n'est pas surprenante : Lapsus$ est réputé pour ses méthodes d'ingénierie sociale et pour corrompre les employés de ses victimes. Plus généralement, son mode d'attaque correspond à celui utilisé contre Uber. En revanche, l'entreprise victime n'évoque pas d'éventuelle demande de rançon, qui confirmerait l'identité des hackers.

François Manens
En direct - Transition Forum 2022

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.