Vendredi dernier, le monde s'était réveillé sur la nouvelle du piratage du système informatique de Uber. Si l'info a vite été confirmée par l'entreprise US, très peu d'informations avaient jusque là fuité.

Mais cette semaine, on en apprend un peu plus sur la personne qui a réussi à infiltrer les systèmes d'Uber. Il s'agit d'un jeune homme de 18 ans -appelé Tea Pot-  appartenant au groupe de Hackers Lapsus$ serait derrière cette attaque.

Identifiants, Dark Web et fiasco sécuritaire

En effet, dans la dernière mise à jour d'Uber concernant son récent piratage, la société a imputé la responsabilité de son fiasco de sécurité au groupe de pirates Lapsus$. Ce groupe de hackers a également réussi par le passé à pirater Microsoft, Cisco, Samsung, Nvidia et Okta. La semaine dernière, ils ont également réussi à hacker le fabricant de jeux vidéo Rockstar Games.  

Si les résultats de l'attaque sont mauvais pour Uber, c'est surtout la façon dont le hack a été mené qui fait s'interroger. En effet, c'est le genre d'attaque simple qu'un adolescent avec un script pourrait mettre facilement en place.

Comment a fait "Tea Pot"? Il a acheté l'identifiant et le mot de passe d'un prestataire d'Uber sur le dark web. Le véritable outil de piratage utilisé ici ? Environ 1/20e d'un bitcoin, soit 1 000 dollars en argent réel, pour accéder à ce compte professionnel.

Sauf que, Uber utilise un processus d'authentification multifactorielle et que ceci ne devait jamais arriver sans le manque d'attention de ce prestataire qui a accepté une demande d'authentification multifactorielle, permettant ainsi au hacker d'accéder à un réseau interne comprenant les identifiants d'un administrateur d'Uber.

Avec ces identifiants, le hacker a pu accéder à Uber, AWS, G-Suite, Google Cloud Platform, OneLogin, le portail de réponse aux incidents SentinelOne, Slack et les ressources OpenDNS d'Uber. Une fois entré dans le système, le hacker a même posté sur le Slack d'Uber l'annonce de son piratage du système.

Après ce piratage Uber a annoncé que la sécurité de son système a été renforcé, mais bien sûr cela arrive trop tard. Cependant, toujours selon la firme US, le pirate informatique n'a pas eu accès aux comptes des utilisateurs ou aux informations sensibles des utilisateurs, telles que les numéros de carte de crédit, les informations sur les comptes bancaires des utilisateurs ou l'historique des voyages.

Cependant, le mal est fait puisque le hacker n'a même pas eu à dépasser les simples bases du hacking pour pénétrer la plateforme, démontrant au passage que le cybersécurité n'est pas une aussi mince affaire que semble le penser Uber.

Vous souhaitez devenir un expert en cybersécurité? Rejoignez notre formation et maîtrisez les technologies nécessaires pour lancer votre carrière. Découvrez le programme sur notre site web ou contactez nos conseillers pédagogiques.