Piratage Uber : la sécurité en mode dérapage

Uber vient d’annoncer le piratage de 57 millions de données des clients et des chauffeurs. Un incident où le RSSI a tu l’affaire et a payé les pirates 100 000 dollars.

L’icône de la disruption technologique et économique n’est pas à l’abri d’un piratage. Uber vient d’annoncer avoir été victime d’un vol de données pouvant atteindre 57 millions de données de clients dans le monde. Dara Khosrowshahi, CEO d’Uber a indiqué que ce vol comprenait 600 000 noms et numéros de permis de conduire de conducteurs, ainsi que les renseignements personnels de 57 millions de clients dont les noms, les adresses mails et les numéros de téléphone mobile.

Dans un souci de rassurer les clients, le dirigeant a indiqué que selon l’enquête interne, l’historique du lieu de voyage, les identifiants des cartes et comptes bancaires ainsi que les numéros de sécurité sociale ou les dates de naissance, n’ont pas été dérobés.

Une succession d’entorses aux règles de sécurité

Jusque-là, la communication d’Uber répond aux règles de gestion de crise. Reste que ce rapt à toutes les caractéristiques d’une sortie de route en matière de sécurité. Le RSSI de la firme américaine, Joe Sullivan a eu vent de ce vol de données en 2016, mais a décidé de taire cet incident. Pire, il a décidé de payer le ou les cybercriminels, 100 000 dollars, pour supprimer les données volées et passer sous silence le piratage. Selon Bloomberg, Joe Sullivan et un de ses adjoints ont été licenciés. Autre personnage pointé du doigt, Travis Kalanick, ancien CEO et fondateur d’Uber, il aurait été au courant du vol en novembre 2016, soit un mois après l’incident. Il s’est bien gardé d’en informer les autorités compétentes.

Dara Khosrowshahi souligne avoir découvert récemment l’affaire. Après enquête, il a déterminé que le piratage impliquait « deux personnes à l’extérieur de l’entreprise, qui accédaient aux données des utilisateurs stockées sur un service Cloud tiers ». Pour les experts en sécurité, les pirates auraient eu accès à un référentiel privé sur GitHub utilisé par des ingénieurs d’Uber et comprenant des identifiants de connexion, ils ont accédé aux bases de données clients et chauffeurs présentes sur AWS. Cette faiblesse prône encore une fois pour un renforcement des exigences de sécurité par les développeurs.

Des suites judiciaires en route

Ils sont nombreux à vilipender les nombreuses carences de sécurité d’Uber et de souligner l’impact sur la réputation de l’entreprise. Dara Khosrowshahi n’entend pas endosser le costume du coupable, « Rien de tout cela n’aurait dû se produire, et je ne cherche pas d’excuses » avant d’ajouter, « bien que je ne puisse pas effacer le passé, je peux m’engager au nom de tous les employés d’Uber à apprendre de nos erreurs ». Il réaffirme que les deux pirates ont été identifiés et qu’ils ont donné l’assurance que les données dérobées ont été supprimées. Une promesse qui n’engage que ceux qui les font…

L’affaire va avoir une suite judiciaire, car l’attorney général, Eric Schneiderman, a décidé d’ouvrir une enquête. De son côté Uber a fait appel à la société Mandiant pour mener une enquête en profondeur sur les raisons, les carences et les conséquences du vol massif de données.

 

Photo by EKavet on VisualHunt /  CC BY

 

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s