Tout ce que vous devez savoir sur l’attaque d’ingénierie sociale chez Uber

5 octobre 2022  |  Dashlane

Un hacker, prétendant avoir 18 ans, a piraté la société de covoiturage Uber la semaine dernière et a affirmé avoir accès à un large éventail de systèmes au sein du réseau de l'organisation. Selon un rapport du New York Times, un chercheur en sécurité ayant communiqué avec le pirate, a qualifié l'incident de « compromission totale » qui a permis au pirate d'avoir un « accès complet » à Uber.

Le pirate, qui semblait avoir été motivé par le traitement réservé par Uber à ses chauffeurs, a également piraté le canal Slack interne de l'entreprise et a publié un message aux employés concernant l'attaque. Tous les détails sur l'attaque ne sont pas encore disponibles, car l'entreprise a déclaré qu'elle enquêtait toujours sur l'étendue de l'incident.

Cependant, il est à noter que ce n'est pas la première fois qu'Uber est compromis. En 2016, une fuite de données massive qui a exposé des données sensibles a touché 57 millions de clients et de chauffeurs. L'entreprise a admis avoir dissimulé la violation alors qu'elle était légalement tenue de la signaler à la Federal Trade Commission. L'ancien chef de la sécurité d'Uber, Joe Sullivan, est actuellement jugé par le gouvernement fédéral pour entrave à la justice en raison de la non-divulgation de la violation. Cependant, ses avocats ont fait valoir qu'il avait fourni toutes les informations à l'équipe juridique d'Uber et que cette équipe était responsable de la divulgation aux régulateurs.

Uber a déclaré qu'il n'y avait aucune preuve que des données utilisateur sensibles aient été compromises. Cependant, le pirate informatique aurait eu accès à un large éventail de systèmes et de ressources critiques, notamment :

L'individu a déclaré au New York Times qu'il avait utilisé l'ingénierie sociale : une méthode de phishing courante qui s'attaque à la nature humaine en manipulant les individus pour les pousser à partager des informations personnelles et des confidentielles. Le pirate a contacté un employé via WhatsApp, prétendant être d'Uber IT, et a convaincu la personne de se connecter à une fausse page Web d'Uber. Cela a permis au pirate de récupérer le mot de passe de l'employé, puis de le duper pour qu'il authentifie l'accès avec l'application d'authentification multifacteur (MFA) de l'entreprise.

Inciter les employés à divulguer les informations d'identification est une tactique courante pour les pirates informatiques. « Ces types d'attaques d'ingénierie sociale visant à s'implanter au sein des entreprises technologiques ont augmenté », a déclaré Rachel Tobac, hackeuse éthique et directrice générale de SocialProof Security, au New York Times. Elle a également noté que les acteurs malveillants utilisent désormais des kits qui facilitent beaucoup le lancement d'attaques d'ingénierie sociale.

Comme mentionné précédemment, la déclaration officielle d’Uber indique que l’entreprise n’a aucune preuve que l’incident impliquait des données sensibles telles que l’historique des trajets des passagers.

Cependant, l’enquête est toujours en cours, vous devez donc surveiller les mises à jour.  De plus, c’est une bonne idée de changer votre mot de passe et de mettre à jour tous les comptes qui partagent les mêmes informations d’identification après toute violation. Envisagez d’utiliser un gestionnaire de mots de passe personnel tel que Dashlane, qui peut vous aider à créer facilement des mots de passe forts, uniques et aléatoires pour chaque compte. Avec un gestionnaire de mots de passe, vous n’avez pas non plus à vous soucier de mémoriser l’un de vos mots de passe, à l’exception de celui que vous utilisez pour l’application de gestion de mots de passe.

Malheureusement, vous n’avez pas besoin d’être une grande entreprise ou une entreprise bien connue pour courir le risque d’un piratage similaire à celui d’Uber. Que vous ayez une poignée d’employés ou des centaines, vous devez mettre en place des défenses de cybersécurité fondamentales, en commençant par des contrôles qui vous aident à protéger vos employés.  Le plus souvent, les acteurs de la menace ciblent les personnes plutôt que la technologie. C’est pourquoi il est important de commencer par utiliser un gestionnaire de mots de passe professionnel et de suivre ces directives :

Utilisez le Business Breach Report pour recevoir un rapport de vulnérabilité.

Les violations et les piratages peuvent arriver à toute personne ou entreprise. Lorsqu’ils se produisent, il n’est pas rare que des membres de l’entreprise se sentent quelque peu responsables. En fait, dans nos recherches récentes, nous avons constaté que les employés et les administrateurs informatiques veulent des outils comme un gestionnaire de mots de passe pour sécuriser leur entreprise.

Nos pensées vont à l’équipe Uber, en particulier aux héros méconnus de l’informatique, pendant qu’ils gèrent l’incident. Nous espérons qu’ils pourront se rétablir complètement, revenir plus forts et éviter les incidents de cybersécurité à l’avenir.

Depuis la publication de cet article, Uber a confirmé le récit des médias sur la façon dont le pirate a obtenu l’accès. Selon la déclaration de l’entreprise, les informations d’identification Uber de l’entreprise du sous-traitant ont été exposées, car l’appareil personnel de la personne a été infecté par des logiciels malveillants et ces informations d’identification ont été vendues sur le dark Web. Uber a également déclaré qu’après s’être connecté, le hacker a pu pirater d’autres comptes d’employés pour élever l’accès aux différents outils.

Dashlane

Dashlane is a web and mobile app that simplifies password management for people and businesses. We empower organizations to protect company and employee data, while helping everyone easily log in to the accounts they need—anytime, anywhere.

En savoir plus