olly - stock.adobe.com
Cybersécurité : Uber encaisse un dérapage incontrôlé
Uber vient de reconnaître une importante brèche de sécurité survenue il y a plus d'un an. L'entreprise semble avoir cherché à la dissimuler. Mais son origine devrait être familière à de nombreuses autres.
Uber vient de reconnaître un important « incident de sécurité en 2016 ». Dans un billet de blog, le spécialiste du transport de personnes à bas coût explique avoir appris que, fin 2016, « deux personnes extérieures à l’entreprise ont accédé de manière inappropriée aux données stockées dans un service Cloud tiers que nous utilisons ». Selon Uber, à cette occasion, ces individus ont eu accès à des informations personnelles concernant 57 millions de clients dans le monde entier, ainsi que 600 000 conducteurs aux Etats-Unis. Mais il assure qu’il n’y pas de raison de craindre qu’aient été collectés « historiques de déplacements, numéros de cartes de crédit, numéros de comptes bancaires, numéros de sécurité sociale, ou dates de naissance ».
Plus loin, Uber explique avoir aussitôt « pris des mesures pour sécuriser les données et fermer l’accès non autorisé ». Après identification des personnes impliquées, des « assurances » ont été obtenues selon lesquelles « les données téléchargées avaient été détruites ». Mais cela ne va pas sans soulever de nombreuses questions.
La première porte sur le délai : pourquoi avoir attendu un an avant de reconnaître l’incident ? Dara Khosrowshahi, Pdg d’Uber, assure n’avoir que « récemment » été informé de l’incident. Il n’est arrivé aux commandes de l’entreprise au mois d’août dernier. Avant cela, il dirigeait Expedia. Chez Uber, il a succédé à Travis Kalanick, son fondateur. Pour beaucoup, c’est à lui qu’il reviendra de s’expliquer sur la gestion de l’incident. Et notamment pour un point : selon nos confrères de Bloomberg, Uber a versé 100 000 $ aux individus concernés en échange de la destruction des données et de leur silence. Le RSSI de l’entreprise et l’un de ses adjoints ont été débarqués.
Uber paid $100K to protect 57M people?
— Dan Kaminsky (@dakami) November 21, 2017
Good.
I think people forget the goal is actually to prevent harm.
Yeah, those hackers could totally have kept the data. But then, their identities were known, and they knew they might face consequences.
Not ideal, welcome to the real.
Ce choix de payer ne manquera pas de faire débat, à l’heure où le sujet fait déjà polémique avec les ransomwares. Mais pour certains, comme Dan Kaminsky, Uber a pris la bonne décision : « je pense que l’on oublie que le but est de prévenir des dégâts. […] Ce n’est pas idéal ; bienvenue dans le réel ».
Les deux personnes impliquées auraient en fait mis la main, dans du code partagé sur Github, sur des données d’authentification auprès de ressources AWS utilisées par Uber. Et cela ne manquera pas de renvoyer aux cas Deloitte et Equifax, notamment, qui n’apparaissent ainsi pas isolés. Et c’est sans compter avec toutes les ressources de stockage Cloud mal configurés qui ne manquent pas de laisser accessibles à tous tout leur contenu… Upguard révélé plusieurs cas, ces derniers mois. Le tout dernier en date n’était autre que le ministère américain de la Défense.
Pour Kevin Bocek, vice-président de Venafi, l’incident Uber est « un exemple dont les identités des machines, quand elles ne sont pas protégées, peuvent entraîner des violations de données ». Ce qui ne manque pas de renvoyer à la question de la gestion et du contrôle des clés d’accès aux API, par exemple, mais aussi des clés SSH. Udi Mokady, Pdg de CyberArk est sur la même ligne. Récemment, Elizabeth Lawler, vice-présidente de l’éditeur de l’éditeur, le déplorait d’ailleurs : « DevSecOps se concentre trop sur la chaîne logistique du logiciel », au détriment d’autres volets.