Les nouvelles étaient mauvaises aujourd’hui, avec en gros titres, la compagnie Uber, qui a été victime d’un piratage de données massif en 2016.
Selon Bloomberg, les données personnelles de 57 000 000 conducteurs et clients ont été volées, après quoi Uber a non seulement gardé le secret concernant ce piratage de données auprès des victimes, mais a aussi payé 100 000 $ aux hackers pour “effacer les données [et] se taire”.
Apparemment, le chef de la sécurité d’Uber, Joe Sullivan, débauché par Uber de Facebook en 2015, a été licencié suite à cet incident.
Bloomberg cite Uber dans l’extrait suivant :
Les données volées durant l’attaque d’octobre 2016 incluaient les noms, adresses email et numéros de téléphone de 50 millions de conducteurs Uber à travers le monde… Les données personnelles d’environ 7 millions de conducteurs ont également été récupérées, dont 600 000 numéros de permis de conduire. Aucun numéro de sécurité sociale, données de carte de crédit, détails géographiques des courses effectuées ou d’autres données n’ont été dérobées.
Il semble que les programmeurs d’Uber aient uploadé les identifiants de sécurité dans un dépôt GitHub, GitHub est un endroit où vous êtes censé stocker le code source, pas les clés du château ! C’est là que les hackers sont tombés dessus.
De là, les cybercriminels ont pu entrer dans les serveurs Uber hébergés sur Amazon, et ont pu accéder aux données personnelles pris pour cible dans ce piratage.
Si ce piratage de données a un air de déjà-vu, Uber a été victime d’une faille de sécurité avec des causes identiques il y a seulement trois ans, un piratage qui a été découvert en mai 2014, mais qui n’a pas été révélé avant février 2015.
Des détails fiables sur les données volées cette fois-ci ne sont pas encore disponibles.
Comme mentionné ci-dessus, les détails des permis de conduire ont été récupérés par les cybercriminels, signifiant qu’Uber aurait certainement dû déclarer ce piratage de données rapidement, car des informations sensibles étaient en cause.
La déclaration d’Uber concernant les données clients, telles que les données de cartes de crédit et les numéros de sécurité sociale, qui n’auraient pas impliquées dans ce piratage est une maigre consolation, et combien de clients sont prêts à croire Uber ?
Quoi faire ?
Il y a tellement de choses encore inconnues dans cette histoire que la seule recommandation raisonnable que nous puissions faire aux clients d’Uber est la suivante : “Gardez vos yeux grands ouverts concernant la suite des évènements”.
Si vous êtes programmeur, répétez à tous ceux qui voudront bien l’entendre la recommandation suivante : “GitHub est fait pour le code, pas pour les clés de sécurité !”.
Comme l’a exprimé sans détours notre ami et collègue Chester Wisniwewski :
Le piratage de données chez Uber montre une fois de plus que les développeurs doivent prendre la sécurité vraiment au sérieux, et ne doivent jamais intégrer ou utiliser des jetons ou des clés d’accès dans les dépôts de code source. Je dirais que j’ai l’impression d’avoir déjà vu ce film auparavant, mais en général, les entreprises ne sont pas prises au piège lorsqu’elles participent activement à une opération de dissimulation. En mettant de côté l’aspect dramatique de l’histoire et les impacts potentiels du prochain RGPD à venir en Europe, il s’agit encore malheureusement d’une nouvelle équipe de développement négligente, avec des identifiants partagés et des mauvaises pratiques de sécurité. Malheureusement, cette pratique se trouve bien plus souvent dans les environnements de développement de type “dynamiques”, et en particulier au sein de start-ups technologiques à forte croissance.
Oh, et si vous êtes victime d’une faille de sécurité, ayez le bon réflexe : signalez-la rapidement, pas uniquement parce que la loi vous y oblige, mais parce que c’est tout simplement le bon réflexe à avoir !
Et, informez vos clients, sur votre site web, concernant ce que vous savez jusqu’ici, quelles informations supplémentaires vous essayez de découvrir, et quand aura lieu la prochaine mise à jour.
Au moment de la rédaction de l’article [2017-11-22T01: 00Z], le site web d’Uber arborait toujours le slogan “Allez-y, cette journée vous appartient” en vous incitant à vous inscrire pour devenir chauffeur Uber !
Mise à jour : Uber a mis en ligne une page d’aide concernant ce piratage de données [2017-11-22T01: 40Z].
Billet inspiré de Uber suffered massive data breach, then paid hackers to keep quiet, sur Sophos nakedsecurity.