Uber vient de révéler que les données de 57 millions d’utilisateurs à travers le monde ont été piratées fin 2016. Les hackers ont piraté le serveur GitHub et ont ainsi pu accéder aux données personnelles des utilisateurs notamment les noms, adresses mails et numéros de téléphone.
« Ce que nous savons jusqu’ à présent, c’est que les pirates ont réussi à accéder à des comptes GitHub privés contenant les identifiants et les mots de passe de certains développeurs d’Uber, explique Jérôme Segura, Lead Malware Intelligence Analyst de Malwarebytes (Il est fortement déconseillé de télécharger de telles informations dans les dépôts de code).
Grâce à ces informations, ils ont pu se connecter aux serveurs d’AWS (utilisés par Uber), y télécharger des millions d’enregistrements. Ils ont ensuite pu se retourner vers Uber pour les faire chanter.
Ce qui est troublant est que ce piratage se soit produit il y a déjà un an et ne soit annoncé qu’aujourd’hui. Cela viole très probablement de nombreuses lois sur la notification des violations de données. Les motivations ayant décidé Uber à payer les pirates ne sont pas encore claires. S’agissait-il de couvrir la brèche, de protéger leurs utilisateurs, les deux ? La quantité et le type de données dont on parle ici pourraient atteindre un prix très élevé au marché noir.
Cette attitude soulève également la question de la confiance d’Uber en ce qui concerne le paiement de la rançon et l’obtention de garanties quant à la suppression des données volées.
Quoi qu’il en soit, techniquement il ne s’agit pas d’une nouvelle brèche, mais d’une situation plus complexe pour laquelle le gouvernement et les institutions juridiques vont exiger des réponses.
Pour Kevin Bocek, VP of Security Strategy and Risk Intelligence chez Venafi, « L’incident chez Uber est un exemple sur la façon dont les identités des machines, quand elles ne sont protégées, peuvent entraîner des violations de données
L’accès aux services du Cloud, tel que Amazon Web Services (AWS), qui sont sécurisés avec des clés SSH restent souvent hors du contrôle des équipes de sécurité. Malheureusement, nous avons fréquemment vu les clés SSH qui fournissent l’accès à AWS, laissées sans protection dans le GitHub.
Sans une puissante intelligence des SSH et des contrôles de sécurité stricts, les gens malveillants peuvent violer les clés en naviguant sous les radars de la plupart des autres contrôles de sécurité. Une faible protection SSH est comme une flotte de véhicules Uber qui n’est plus contrôlée, personne ne peut les arrêter ».
« On constate une fois encore que les pénalités dérisoires n’incitent pas suffisamment les entreprises à protéger leurs données, considère Christophe Badot, Directeur France de Varonis. Lorsque le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur en mai prochain, les entreprises qui manipuleront les données des citoyens de l’UE seront confrontées à des sanctions beaucoup plus sévères et à l’obligation de respecter une période de divulgation de 72 heures après la découverte d’une violation de données. Pour mettre les choses en perspective : dans le cadre GDPR, Uber pourrait être condamné à une amende pouvant atteindre 260 000 000 $ pour cette infraction (4 % de son chiffre d’affaires de 6,5 milliards de dollars en 2016). Lors du précédent piratage survenu en 2014, Uber avait été condamnée à une amende de 20 000 $ seulement par l’État de New York, loin d’être dissuasif pour une entreprise qui gagne des milliards de dollars. »