Les employés d’Uber ont découvert jeudi que d’énormes pans de leur réseau interne avaient été consultés par quelqu’un qui avait annoncé l’exploit sur la chaîne Slack de l’entreprise. L’intrus, qui a envoyé des captures d’écran documentant la violation au New York Times et à des chercheurs en sécurité, a prétendu avoir 18 ans et a été exceptionnellement ouvert sur la façon dont cela s’est produit et jusqu’où il est allé, selon le média, qui a publié l’histoire.
Il n’a pas fallu longtemps aux chercheurs indépendants, y compris Bill Demirkapipour confirmer la couverture du New York Times et conclure que l’intrus a probablement obtenu l’accès initial en contactant un employé d’Uber via WhatsApp.
Le piratage d’Uber est assez grave et de grande envergure. Nous souhaitons bonne chance et amour à leurs équipes bleues pendant cette période naturellement difficile. Quelques réflexions et observations basées sur ce que nous avons vu jusqu’à présent ? 1/N
– Bill Demirkapi (@BillDemirkapi) 16 septembre 2022
Après avoir réussi à obtenir le mot de passe du compte de l’employé, le pirate a amené l’employé à approuver une notification push pour l’authentification multifacteur. L’intrus a ensuite découvert des informations d’identification administratives qui donnaient accès à certaines des ressources du réseau de joyaux de la couronne d’Uber. Uber a réagi en fermant certaines parties de son réseau interne pendant qu’il enquêtait sur l’étendue de la violation.
On ne sait pas encore exactement à quelles données le pirate a eu accès ou quelles autres actions le pirate a prises. Uber stocke un éventail vertigineux de données sur ses utilisateurs, il est donc possible que des adresses privées et les allées et venues horaires de centaines de millions de personnes soient accessibles ou consultées.
Voici ce que l’on sait jusqu’à présent.
Comment le hacker est-il entré ?
Selon le NYT, le fil de tweet ci-dessus de Demirkapi, et d’autres chercheurs, le pirate informatique a socialement conçu un employé d’Uber après avoir découvert d’une manière ou d’une autre le numéro WhatsApp de l’employé. Dans des messages directs, l’intrus a demandé à l’employé de se connecter à un faux site Uber, qui a rapidement saisi les informations d’identification saisies en temps réel et les a utilisées pour se connecter au véritable site Uber.
Uber avait mis en place MFA, abréviation d’authentification multifactorielle, sous la forme d’une application qui invite l’employé à appuyer sur un bouton sur un smartphone lors de la connexion. Pour contourner cette protection, le pirate a saisi à plusieurs reprises les informations d’identification sur le site réel. L’employé, apparemment confus ou fatigué, a fini par appuyer sur le bouton. Sur ce, l’agresseur était dedans.
Après avoir fouillé, l’attaquant a découvert des scripts PowerShell qu’un administrateur avait stockés et qui automatisaient le processus de connexion à diverses enclaves réseau sensibles. Les scripts comprenaient les informations d’identification nécessaires.
Que s’est-il passé ensuite ?
L’attaquant aurait envoyé des SMS à l’échelle de l’entreprise sur les chaînes Uber Slack, annonçant l’exploit.
« J’annonce que je suis un pirate informatique et qu’Uber a subi une violation de données », lit-on dans un message, selon le NYT. Des captures d’écran ont fourni la preuve que l’individu avait accès à des actifs, y compris les comptes Amazon Web Services et G Suite d’Uber et les référentiels de code.
On ne sait toujours pas à quelles autres données le pirate a eu accès et s’il a copié ou partagé certaines d’entre elles avec le monde entier. Uber a mis à jour vendredi sa page de divulgation pour dire: « Nous n’avons aucune preuve que l’incident impliquait l’accès à des données utilisateur sensibles (comme l’historique des trajets). »
Que sait-on du hacker ?
Pas beaucoup. La personne prétend avoir 18 ans et s’est adressée aux chaînes Uber Slack pour se plaindre que les chauffeurs Uber sont sous-payés. Ceci, et le fait que l’intrus n’a pris aucune mesure pour dissimuler la violation, suggèrent que la violation n’est probablement pas motivée par un gain financier provenant d’un logiciel de rançon, d’extorsion ou d’espionnage. L’identité de l’individu reste inconnue à ce jour.
Que fait Uber maintenant ?
L’entreprise a reconnu la violation et enquête.
Nous répondons actuellement à un incident de cybersécurité. Nous sommes en contact avec les forces de l’ordre et publierons des mises à jour supplémentaires ici dès qu’elles seront disponibles.
– Uber Comms (@Uber_Comms) 16 septembre 2022
Est-ce qu’un jeune de 18 ans vraiment accéder aux joyaux de la couronne de l’une des entreprises les plus sensibles au monde ? Comment se peut-il?
Il est trop tôt pour le dire avec certitude, mais le scénario semble plausible, voire probable. Les attaques de phishing restent l’une des formes les plus efficaces d’intrusion sur le réseau. Pourquoi s’embêter avec des exploits zero-day coûteux et complexes alors qu’il existe des moyens beaucoup plus simples d’intrusion ?
De plus, les attaques de phishing de ces derniers mois sont devenues de plus en plus sophistiquées. Témoin cette attaque qui a récemment violé Twilio et a ciblé de nombreuses autres entreprises. La page de phishing a automatiquement relayé les noms d’utilisateur et les mots de passe saisis aux attaquants via le service de messagerie Telegram, et l’attaquant les a saisis sur le site réel. Lorsqu’un utilisateur a saisi un mot de passe à usage unique généré par une application d’authentification, les attaquants l’ont simplement saisi également. Dans le cas où un compte était protégé par une application telle que Duo Security, les attaquants auraient accès dès que l’employé s’y conformerait.
Cela signifie-t-il que l’authentification MFA utilisant des mots de passe à usage unique ou des pushs est inutile ?
Ce type de MFA protégera les utilisateurs si leur mot de passe est compromis par une violation de la base de données. Mais comme cela a été démontré à plusieurs reprises, ils sont terriblement insuffisants pour arrêter les attaques de phishing. Jusqu’à présent, les seules formes de MFA résistantes au phishing sont celles qui sont conformes à une norme de l’industrie connue sous le nom de FIDO2. Il reste l’étalon-or MFA.
De nombreuses organisations et cultures continuent de croire que leurs membres sont trop intelligents pour tomber dans le piège des attaques de phishing. Ils apprécient la commodité des applications d’authentification par rapport aux formes FIDO2 de MFA, qui nécessitent la possession d’un téléphone ou d’une clé physique. Ces types de violations resteront une réalité jusqu’à ce que cet état d’esprit change.
Quelle est la réaction à la violation jusqu’à présent ?
Le cours des actions d’Uber a baissé d’environ 4% vendredi, au milieu d’une large vente qui a fait baisser encore les cours des actions de nombreuses entreprises. Le Dow Jones Industrial Average a chuté de 1 %. Le S&P 500 et le Nasdaq Composite ont respectivement chuté de 1,2% et 1,6%. On ne sait pas ce qui fait baisser les actions d’Uber et quel effet, le cas échéant, la violation a sur la baisse.