Uber, nouvelle victime du groupe Lapsus$ ? L’entreprise américaine de VTC a publié sur son site, lundi 19 septembre au soir, un premier rapport revenant sur l’intrusion et la fuite de données dont elle a été victime dans la nuit du 15 au 16 septembre. Uber y attribue l’attaque ayant visé ses systèmes informatiques à un pirate lié à ce groupe cybercriminel, connu pour avoir pris pour cible plusieurs grandes entreprises du secteur des nouvelles technologies au début de l’année 2022.
Uber estime que les techniques ayant permis aux pirates de compromettre son système sont similaires à celles employées précédemment par Lapsus$. Elle note par ailleurs que le piratage qui a ciblé dimanche Rockstar Games, éditeur du jeu vidéo GTA 6, répond à un schéma similaire.
Selon les analyses d’Uber, le point de départ de l’intrusion se trouve dans le piratage d’un contractant externe travaillant pour la société. « Il est probable que l’attaquant ait acheté le mot de passe Uber du contractant sur le Dark Web » estime Uber, qui précise que le ou les attaquants sont parvenus à contourner l’authentification multifacteurs en multipliant les tentatives de connexion jusqu’à ce que la victime valide par erreur la demande d’authentification. Une fois à l’intérieur, le ou les pirates ont visé les comptes d’autres utilisateurs, jusqu’à parvenir à un niveau de privilèges suffisamment élevé pour accéder aux ressources de l’entreprise, notamment G-Suite et la messagerie Slack interne. Les attaquants en ont profité au passage pour « reconfigurer l’OpenDNS d’Uber pour afficher une image choquante visible par les employés sur certains sites internes ».
Plus de peur que de mal
Dans son rapport, Uber donne par ailleurs une première estimation des données volées par le ou les auteurs de l’attaque : la société a ainsi constaté que des messages publiés sur son Slack interne avaient été téléchargés, ainsi que des informations disponibles par l’intermédiaire du logiciel utilisé par l’équipe de comptabilité pour traiter les factures. Les attaquants auraient également eu accès au panneau de contrôle HackerOne, le programme utilisé par Uber pour récompenser les chercheurs en sécurité qui lui signalent des failles dans ses applications. Mais la société précise que les signalements auxquels ils ont pu avoir accès avaient déjà été traités par ses équipes, et que les intrus n’ont donc pas pu prendre connaissance de failles non corrigées.
L’entreprise rassure enfin ses utilisateurs en insistant sur le fait qu’aucune donnée d’utilisateur n’a été affectée, tout comme les données de cartes bancaires. De la même manière, Uber s’est assuré qu’aucune modification n’avait été apportée au code source de ses applications. Les responsables de la société ont également détaillé les mesures de sécurité prises afin de s’assurer que les auteurs de l’attaque n’ont plus accès aux outils internes de l’entreprise.
Uber affirme travailler en étroite collaboration avec le FBI et le département de la justice américaine, ainsi qu’avec plusieurs entreprises spécialisées en cybersécurité dans le cadre de l’enquête.
Le groupe Lapsus$, ou un membre proche du groupe, est également suspecté d’être à la manœuvre dans le piratage de Rockstar Games, développeur de la série de jeux vidéo à succès Grand Theft Auto. Le mode opératoire employé dans le piratage d’Uber et celui de Rockstar Games est, de fait, similaire à celui de nombreuses attaques attribuées au groupe Lapsus$, actif depuis la fin d’année 2021 et particulièrement actif au mois de mars 2022 : ils ont ainsi revendiqué le piratage de Microsoft, Okta, Nvidia ou encore Samsung. L’annonce de plusieurs arrestations en Grande-Bretagne au mois d’avril avait porté un coup d’arrêt aux activités du groupe. Deux adolescents avaient alors été inculpés.