Sécurité IT : le vol massif de données chez Uber suscite la stupeur parmi les experts

uber-piratage-vol-donnees-persos

Gestion des comptes à privilèges, mise en garde RGPD, réponse inappropriée…Le vol massif de données persos subi par Uber a fait bondir les spécialistes de la sécurité IT.

Avec la nouvelle affaire d’Uber, c’ est la stupéfaction au regard de l’infraction qui a été camouflée pendant un an.

Hier, la société californienne, qui exploite la fameuse app de mise en relation entre chauffeur et passager dans le segment VTC, a reconnu publiquement un vol massif de données personnelles portant sur 57 millions de clients dans le monde et de 600 000 chauffeurs aux Etats-Unis dans une affaire survenue…en 2016.

Entre la justice et les autorités de régulation en charge du respect de la confidentialité, une série d’enquêtes est enclenchée après les révélations de l’ampleur des dégâts (voir articles sur ITespresso.fr).

Uber a tenté d’étouffer l’affaire en acceptant de verser une rançon de 100 000 dollars à condition que les données massivement évaporées dans la nature soient détruites. On ignore si les pirates se sont pliés à cette exigence.

Le volume de données personnelles semblent avoir été aspiré par le biais d’une plateforme cloud tierce (Amazon Web Services a priori).

C’est la patate la plus chaude dont hérite Dara Khosrowshahi de l’ère de Travis Kalanick. Alors le fondateur d’Uber avait été écarté de la direction en juin.

Le nouveau CEO a fourni un premier jet d’explication dans une contribution blog en date du 21 novembre. Il n’avait pas besoin de cela, au regard de l’image déjà dégradée d’Uber auprès de l’opinion publique.

L’affaire tombe mal alors que Dara Khosrowshahi cherche à raviver l’image d’Uber et d’apaiser les tensions liées aux dérives d’antan.

Alors que la vigilance des pouvoirs publics est déjà un niveau élevé. En août, alors qu’Uber avait déjà été sanctionné pour des manquements relatifs à la gestion de la confidentialité des données et ses pratiques de sécurité, la Federal Trade Commission avait exigé qu’Uber se plie à un contrôle permanent ad hoc sur une période de 20 ans.

Piratage d’Uber : des réactions plus ou moins virulentes

Alors que le chef de la sécurité IT d’Uber Joe Sullivan (qui était passé auparavant chez Facebook) a été limogé dès l’aveu par la direction, la communauté des experts de la sécurité IT s’interroge sur les failles du dispositif ayant abouti à ce vol massif de données personnelles (qui ne constitue pas un record selon une infographie Statista, voir en bas d’articles).

De multiples réactions issues des fournisseurs de solutions de sécurité IT sont tombées par mail à la rédaction hier :

« Combien d’autres entreprises ont payé une rançon pour couvrir une cyber-attaque sans que nous le sachions ? Uber fait partie d’une longue lignée de grandes sociétés avec d’importantes équipes de sécurité et de vastes ressources, aujourd’hui touchée par une violation de données à grande échelle », évoque Emily Orton, directrice et co-fondatrice de Darktrace (solutions proactives de sécurité IT).

« Il devient de plus en plus clair que la cybersécurité n’est plus un défi que les humains seuls peuvent relever. »

De son côté, Kevin BOCEK, Vice-Président Security Strategy and Risk Intelligence chez Venafi (sécurisation des clés cryptographiques et certificats numériques), insiste sur la nécessaire protection renforcée des serveurs avec l’écosystème IT.

« L’accès aux services du Cloud, comme Amazon Web Services (AWS), qui sont sécurisés avec des clés SSH restent souvent hors du contrôle des équipes de sécurité. Malheureusement, nous avons fréquemment vu les clés SSH laissées sans protection sur GitHub. »

Dans ce cas, il semblerait que pirates aient réussi à accéder à des comptes GitHub privés contenant les identifiants et les mots de passe de certains développeurs d’Uber.

David Emm, chercheur en cybersécurité chez Kaspersky Lab (solutions anti-malware), partage son expertise sur cette affaire en évoquant « les retombées dramatiques qui ont suivi la divulgation de la violation de données à grande échelle d’Uber » et « l’importance primordiale de la transparence et de la responsabilité pour les entreprises ».

« La réponse d’Uber a été irresponsable », poursuit-il. « En versant de l’argent aux criminels, l’entreprise les encourage et établit un dangereux précédent. »

« Les motivations ayant décidé Uber à payer les pirates ne sont pas encore claires. S’agissait-il de couvrir la brèche, de protéger leurs utilisateurs, les deux ? », se demande Jérôme Segura, Lead Malware Intelligence Analyst chez Malwarebytes (solutions anti-malware). « La quantité et le type de données dont on parle ici pourraient atteindre un prix très élevé au marché noir. »

Christophe Badot, Directeur de la branche française de Varonis (expert en « gouvernance des données), évoque le cas Uber sous l’angle de la prochaine mise en vigueur du RGPD (Règlement Général sur la Protection des Données) en Europe, qui inclut des dispositions portant sur les notifications de brèches de sécurité IT.

« Pour mettre les choses en perspective : dans le cadre du GDPR, Uber pourrait être condamné à une amende pouvant atteindre 260 millions de dollars pour cette infraction (4 % de son chiffre d’affaires de 6,5 milliards de dollars en 2016). Lors du précédent piratage survenu en 2014, Uber avait été condamnée à une amende de 20 000 dollars seulement par l’État de New York, loin d’être dissuasif pour une entreprise qui gagne des milliards de dollars. »

Udi Mokady, CEO de CyberArk (sécurisation des comptes à privilèges pour les administrateurs réseaux), évoque ce sujet sous l’angle de la gestion des droits d’administration.

« Cette attaque rappelle en effet les vulnérabilités de sécurité critiques créées par les identifiants à privilèges qui, très souvent, ne sont pas surveillés attentivement, et donc pas correctement gérés et protégés ; en particulier dans les entreprises qui utilisent les DevOps et le cloud pour publier rapidement de nouvelles applications. »

Pour sa part, Rich Campagna, CEO de Bitglass (fournisseur de solutions de protection des données), appelle à un renforcement des systèmes d’authentification multi-facteurs d’accès et une approche plus pro-active pour identifier des sources suspectes de tentatives d’accès.

Rik Ferguson, Vice-President Security Research chez Trend Micro (solutions anti-malware), demeure perplexe sur certaines points de l’argumentation d’Uber.

« On peut rester dubitatif vis-à-vis de certaines tournures employées par M. Khosrowshahi sur son blog. Il semble en effet dissocier ‘les systèmes et l’infrastructure de l’entreprise’ des ‘services cloud tiers’ qui étaient la cible de cette attaque. »

Il enchaîne : « Cette séparation nous montre certainement où se situe la source du problème. Les services Cloud adoptés par les entreprises font partie intégrante de leurs systèmes et de leurs infrastructures et doivent donc, dans une perspective de sécurité, être traités comme tels. Car, il est tout bonnement impossible d’externaliser la responsabilité… »

Une nouvelle variante de l’extension de la sécurité périmétrique à l’heure du cloud.

Infographie: Les plus grands coups de piratage informatique | Statista Vous trouverez plus de statistiques sur Statista