Piratage spectaculaire d'Uber : quatre questions pour tout comprendre

Uber a été victime d'un incident de sécurité qui toucherait l'ensemble de ses systèmes informatiques. Heureusement pour l'entreprise de VTC et de livraisons de repas, le hacker revendiqué a un profil atypique : il aurait 18 ans et ne semble pas avoir l'intention de commercialiser les données et accès sensibles en sa possession... Que sait-on de ce mystérieux hacker ? Comment a-t-il pu pénétrer aussi profondément dans le système informatique du géant ? Quelles données a-t-il en sa possession ? Quelles conséquences pour Uber ? Décryptage.
François Manens
(Crédits : Brendan McDermid)

Dans la nuit de jeudi à vendredi 17 septembre, à 3h25, Uber a publié la mauvaise nouvelle sur le compte Twitter de son service de communication : "Nous traitons actuellement un incident de cybersécurité. Nous sommes en contact avec les forces de l'ordre, et nous allons ajouter ici des mises à jour additionnelles dès qu'elles seront disponibles".

Dix minutes auparavant, le hacker réputé Corben Leo relayait sur le réseau social les revendications de piratage d'un individu sur Telegram, qui circulaient depuis quelques heures. Captures d'écran à l'appui, le pirate affirme avoir accédé à de nombreuses parties du système informatique de l'entreprise. L'affaire n'en est qu'à ses débuts et les propos du pirate n'ont pas encore tous pu être confirmés ou vérifiés. Mais ils laissent déjà entrevoir un scénario rocambolesque.

Qu'est-ce qui a été piraté ?

Le pirate affirme avoir eu accès à tous les systèmes informatiques de Uber, c'est-à-dire à ses outils de communication interne (Slack...), ses outils de travail (Amazon Web Services, Google Cloud...), ses logiciels de cybersécurité (Sentinel One...), ses environnements virtuels de travail (VMware), ses logiciels financiers ou encore de nombreuses bases de données. Pour soutenir ses propos, il a publié une série de captures d'écran où on le voit connecté à chacun des outils dont il revendique l'accès. Face à la catastrophe apparente, Uber a débranché plusieurs services, le temps d'enquêter sur l'incident.

Le pirate aurait donc réalisé une compromission totale : des données personnelles des clients aux données financières sensibles de l'entreprise, en passant par le code de logiciel essentiel au fonctionnement de l'application de VTC. Cependant, au lendemain de l'accident, seul l'accès au compte de Uber chez HackerOne [une plateforme qui permet aux chercheurs indépendants de remonter des failles aux entreprises, contre rémunération, ndlr] a été confirmé.

Qui est à l'origine du piratage ?

La personne qui revendique le piratage se présente sous le pseudonyme Tea Pot (littéralement, "Théière") sur Telegram et affirme avoir 18 ans. Cet âge peut être questionné, mais il est courant que les hackers soient très jeunes. Par exemple, Graham Clark, l'auteur d'une série de piratages de comptes Twitter très médiatisée en 2020, avait 17 ans au moment des faits.

Dans plusieurs messages écrits en anglais, Tea Pot ne se présente ni comme professionnel de sécurité ni comme cybercriminel, mais simplement comme un amateur de cybersécurité depuis des années... ce qui complique l'évaluation des conséquences de l'incident. Un cybercriminel aurait revendu l'accès au réseau d'Uber contre une grosse somme, monnayé son contenu ou encore fait chanter Uber, ce qui n'est semble-t-il pas le cas du hacker. De même, un cybercriminel aurait opéré dans la plus grande discrétion, tandis que Tea Pot s'est empressé de parler de son coup d'éclat sur Telegram ainsi que sur le Slack [messagerie de communication interne, ndlr] d'Uber, avec pour effet immédiat d'avertir sa victime - si elle n'avait pas déjà détecté sa présence.

Seul détail proche d'une revendication à noter : dans un message envoyé sur le Slack de l'entreprise, Tea Pot finit par un hashtag "#UberSousPaieSesConducteurs"... avant de proférer des insultes. A partir de ce constat, l'ingénieur et hacker de Yuga Labs Sam Curry spécule dans le New York Times : "on dirait qu'il s'agit d'un gamin qui est entré dans les systèmes d'Uber mais ne sait pas trop quoi faire avec, alors il s'amuse beaucoup". Bien que les actions du pirate et l'ampleur de l'incident rendent la situation chaotique, son absence de revendication publique serait une bonne nouvelle pour Uber, qui pourrait s'en tirer à moindre coût.

Comment le hacker aurait-il piraté Uber ?

Interrogé par plusieurs hackers réputés comme Sam Curry et Kevin Beaumont, Tea Pot s'est étendu en détail sur comment il aurait compromis le système de l'entreprise, et il s'agit d'un scénario bien connu, en trois étapes.

  • Etape 1

Le pirate récupère les identifiants (adresse et mot de passe) utilisés par un employé pour se connecter au réseau (VPN) de l'entreprise, grâce à un faux message (ou phishing). Mais le plus souvent, ces identifiants ne suffisent pas : Uber, comme de nombreuses entreprises, protège les comptes professionnels par un processus de double authentification. Concrètement, l'employé doit accepter une notification envoyée vers une app de son smartphone après avoir entré ses identifiants pour valider la connexion. Le pirate doit donc pousser sa victime à valider cette notification s'il veut voler le compte.

  • Etape 2

Le pirate multiplie les requêtes de double authentification, qui ne sont en général pas plafonnées en nombre. Agacée par le flot de notifications, sa victime croit à un bug. Tea Pot se serait alors présenté sur WhatsApp comme un employé du service informatique d'Uber, et lui aurait dit de valider la notification pour régler le problème. L'employé se serait exécuté et aurait ainsi offert au pirate un accès au VPN de l'entreprise. Ce scénario n'a pas encore été confirmé par Uber, mais il s'est produit dans plusieurs cas récents de piratage (Microsoft, Okta...). Pour ces deux premières étapes, le pirate n'aurait fait appel qu'à de l'ingénierie sociale, le nom donné aux méthodes qui permettent de manipuler les victimes. Il n'aurait donc pas eu à écrire du code ou à utiliser des logiciels offensifs pour atteindre ce stade de l'attaque.

  • Etape 3

Une fois l'accès au VPN de l'entreprise, le pirate aurait fait appel à ses compétences techniques pour fouiller le réseau de l'entreprise et aurait trouvé les identifiants d'un compte administrateur, c'est-à-dire un compte ayant le plus haut niveau d'accès sur les outils du réseau. Il aurait ensuite utilisé ce compte pour trouver toutes les informations qui lui manquaient.

Quelles conséquences pour Uber ?

Dans le meilleur des cas, l'incident se clôt sans que le pirate ne divulgue d'informations confidentielles d'Uber et le préjudice est surtout réputationnel. L'entreprise devra tout de même réaliser un travail de détection -qu'elle a certainement déjà entamé- à la recherche de traces laissées par le pirate, afin de s'assurer qu'il n'a rien modifié et qu'il ne puisse pas entrer à nouveau. L'affaire ayant remis en cause sa politique d'authentification, elle pourrait aussi chercher à la modifier -il existe des méthodes de double authentification plus sécurisées mais moins pratiques que celle qu'elle avait en place.

Dans le pire des cas, le pirate publie (contre rémunération ou non) des documents internes. L'affaire pourrait alors se compliquer pour Uber vis-à-vis des autorités, notamment si les données compromises entrent dans le cadre protégé par le RGPD et son équivalent californien. Quoiqu'il en soit, l'incident tombe au pire moment pour Uber, puisqu'un procès s'est ouvert la semaine dernière sur le rôle de Joe Sullivan, son ancien directeur de la sécurité, dans une fuite datée de 2016. Des hackers avaient accédé à 57 millions de lignes de données qui contenaient entre autre les noms, emails et numéros de téléphone de millions de conducteurs, et le numéro de permis de 600.000 d'entre eux. L'entreprise n'avait rendu l'incident public qu'un an plus tard, et surtout elle avait concédé qu'elle avait payé les hackers à hauteur de 100.000 dollars, ce qui revient à soutenir un criminel aux Etats-Unis.

Lire aussiUber engrange des ventes au deuxième trimestre mais manque encore la rentabilité

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaire 1
à écrit le 18/09/2022 à 11:47
Signaler
"il aurait 18 ans et ne semble pas avoir l'intention de commercialiser les données et accès sensibles en sa possession... " Il est malin, ça lui permet de lui faire un bon CV et de facilement se faire embaucher rapidement à un bon salaire. Il n'y a p...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.