Dans la nuit de mercredi à jeudi, Uber a découvert une attaque de pirates informatiques aux conséquences potentiellement dévastatrices. Selon la société américaine de covoiturage, plusieurs systèmes internes de communication et d'ingénierie ont dû être mis hors ligne afin d'examiner l'ampleur de la cyberattaque.
Une personne inconnue, apparemment responsable de la fraude, a envoyé des captures d'écran d'e-mails, de données cloud et de code de programme appartenant à Uber à des chercheurs en cybersécurité ainsi qu'au New York Times. Dans le journal américain, Sam Curry, un ingénieur en sécurité qui correspondait avec la personne qui prétendait être responsable de la violation a expliqué:
L'auteur de l'attaque serait, d'après les propres dires de celui-ci, un jeune de 18 ans disposant de plusieurs années d'expérience en tant que pirate informatique. Il a en effet déclaré au New York Times qu'il s'était introduit dans les systèmes d'Uber parce que l'entreprise avait mis en place de faibles mesures de sécurité.
D'après les informations dont nous disposons à ce jour, cela ne semble pas être le cas.
Le ou les pirates ont utilisé des méthodes d'ingénierie sociale pour obtenir l'accès aux systèmes protégés d'Uber. Dans un premier temps, un faux message texte a été envoyé à un employé d'Uber, faisant croire à la personne que le message provenait d'un collaborateur informatique d'une autre entreprise. Finalement, la personne concernée a apparemment pu être convaincue de donner un mot de passe.
L'ampleur de l'attaque informatique n'est pas connue. Et nous ne savons pas si le pirate a publié des données volées sur Internet ou les a transmises à des tiers.
Un porte-parole d'Uber a déclaré qu'ils enquêtaient sur l'infraction et qu'ils avaient contacté les forces de l'ordre.
Ce n'est pas la première attaque de pirates informatiques fructueuse contre l'entreprise américaine. En 2016, des pirates informatiques avaient volé des données internes de 57 millions de comptes de chauffeurs et de passagers, puis s'étaient adressés à Uber afin de lui réclamer 100 000 dollars américains. La société américaine avait payé, mais gardé le secret sur la perte de données pendant plus d'un an.
Développement suit...
(dsc)
Traduit et adapté de l'allemand par mndl