Un pirate informatique de 18 ans revendique la responsabilité de ce qui est considéré comme une énorme violation des contrôles de sécurité chez Uber.
Le New York Times a déclaré jeudi dernier que le pirate informatique prétend avoir obtenu un accès initial à l’aide de l’une des plus anciennes astuces de l’arsenal d’un cybercriminel : faire semblant d’être un membre du service informatique de l’entreprise et persuader la victime de lui donner son mot de passe d’entreprise.
Le journaliste britannique spécialisé dans la cybersécurité Graham Cluley rapporte que le pirate informatique présumé a publié un message plus détaillé, affirmant qu’il avait envoyé à l’employé pendant plus d’une heure des messages poussés demandant apparemment une confirmation de connexion. Il a ensuite contacté l’employé en question via WhatsApp en se faisant passer pour l’informaticien et en informant l’employé d’Uber que s’il voulait arrêter les messages, il devait accepter la demande d’accès.
La violation semble avoir compromis de nombreux systèmes internes d’Uber, a déclaré le Times, car la personne revendiquant la responsabilité du piratage a envoyé des images de courriels, de stockage infonuagique et de référentiels de code aux chercheurs en cybersécurité.
« Ils ont à peu près un accès complet à Uber », a dit Sam Curry, un ingénieur en sécurité chez Yuga Labs cité par le Times, qui correspondait avec le pirate informatique présumé. « C’est une compromission totale, selon les apparences. »
Uber n’a pas donné de détails sur le piratage ni si la personne qui prétend avoir réalisé l’intrusion a trompé un employé. On ne sait pas non plus si le compte de l’employé était protégé par une authentification multifacteur (AMF) que l’attaquant a pu contourner.
Comme cela arrive souvent dans le piratage d’une organisation très visible, les fournisseurs de sécurité n’ont pas tardé à commenter. Si les affirmations du jeune de 18 ans sont exactes et si l’employé a utilisé l’AMF, l’incident montre que la simple utilisation de l’authentification multifacteur ne suffit pas pour se protéger contre le type de mouvement latéral qui, selon l’attaquant, a eu lieu, a déclaré Yaron Kassner, CTO and co-fondateur de Silverfort dans un communiqué.
« Les organisations doivent s’assurer qu’elles utilisent une AMF capable de protéger contre les mouvements latéraux. Par exemple, l’attaquant dit avoir accédé à un dossier partagé contenant les informations d’identification utilisées pour les scripts. C’est exactement le type de ressource qui bénéficierait de l’authentification multifacteur. »
Adaptation et traduction française par Renaud Larue-Langlois.
