Le système informatique d’Uber a été piraté dans la nuit de jeudi à vendredi. Si l’entreprise n’a pas encore communiqué de détails sur cette attaque de grande envergure, le responsable, quant à lui, n’a pas hésité à parler aux experts.
On en sait un peu plus sur l’attaque subie par Uber en fin de semaine dernière, où tous les systèmes ont été infiltrés par un pirate. Tout d’abord l’âge du pirate en question : 18 ans. De plus, il aurait agi seul. Un exploit pour quelqu’un de si jeune.
La première étape de l’attaque reste floue. Le pirate a réussi à obtenir les identifiants d’un employé d’Uber mais n’a pas précisé comment c’est arrivé. Toutefois, le compte de l’employé en question n’aurait pas permis d’accéder aux systèmes critiques de l’entreprise. De plus, à cause de l’authentification multi-facteurs (MFA), un identifiant et un mot de passe ne suffisent pas. Pour accéder en profondeur aux systèmes d’Uber, il a pu profiter de deux gaffes de l’entreprise.
Uber was hacked.
The hacker social engineered an employee -> logged into the VPN and scanned their intranet. 👇
— Corben Leo (@hacker_) September 16, 2022
Un employé eu à l’usure
Le pirate en question s’est vanté d’avoir utilisé une technique baptisée MFA fatigue. Pour sécuriser les connexions, Uber utilise les notifications push. Autrement dit, l’utilisateur reçoit une notification lui demandant d’autoriser l’accès d’un appareil qui tente de se connecter avec son compte. Le pirate a inondé l’employé de notifications pendant une heure afin de baisser sa vigilance. C’est la première gaffe : le système de sécurité du MFA ne détecte pas ce genre d’abus, alors qu’il aurait dû attirer l’attention d’un administrateur ou verrouiller le compte visé. Le hacker l’a ensuite contacté via WhatsApp en prétendant être du service informatique d’Uber, lui indiquant qu’il devait accepter la demande pour que ça cesse. L’employé s’est aussitôt exécuté.
De là, le pirate a pu se connecter à l’intranet d’Uber mais il n’avait pas encore un accès suffisant pour les éléments plus sensibles. Il a donc fouillé un peu et a découvert un dossier partagé contenant des scripts PowerShell, dont un contenant un nom d’utilisateur et un mot de passe pour Thycotic (PAM). C’est la seconde gaffe. Ce système permet de gérer les comptes à privilèges et se trouve au centre du système de sécurité de l’intranet d’Uber. Le jeune pirate a donc pu s’en servir pour accéder à tous les services, notamment l’administration de domaine, DUO, OneLogin, Amazon Web Services et GSuite.
— Uber Comms (@Uber_Comms) September 16, 2022
Uber « n’a aucune preuve » d’un accès aux données personnelles
De là, le hacker a pu télécharger le code source d’Uber, accéder aux bases de données et s’est même amusé à narguer les employés. Ils ne pouvaient plus accéder au Web, toutes les pages étaient redirigées vers une image pornographique avec le message « F*** you wankers ».
Grâce à son accès, il a pu accéder au Slack interne d’Uber, où les employés ont continué à en rire même après avoir reçu l’ordre de ne plus s’y connecter. La firme a donc dû arrêter le service en même temps que tous les autres outils internes afin d’évaluer l’étendue des dégâts et sécuriser les accès.
À ce jour, Uber n’a toujours pas confirmé ces informations et n’a envoyé aucune notification à ses utilisateurs. L’entreprise s’est contentée d’une déclaration assez laconique vendredi soir indiquant que tout est fonctionnel, que les outils internes sont de nouveau en ligne et qu’elle collabore avec la police. Toutefois, Uber a également indiqué qu’il n’existe aucune preuve que le pirate ait pu accéder à des données d’utilisateurs sensibles. Cette formulation suggère que la firme n’est pas encore certaine qu’il n’ait pas volé de données personnelles. C’est donc une affaire à suivre…
FUTURA
