L’entreprise Uber a été victime d’un piratage qui semble avoir touché une très grande partie de ses infrastructures. « Nous sommes actuellement confrontés à un problème de cybersécurité. Nous avons pris contact avec les forces de l’ordre et nous publierons davantage d’informations dès qu’elles seront disponibles », a annoncé l’entreprise dans la nuit de jeudi 15 à vendredi 16 septembre.
Plusieurs messages ont été publiés sur la messagerie Telegram et des sites spécialisés, comprenant des captures d’écran suggérant qu’un pirate a pu prendre le contrôle de nombreux services utilisés par Uber, dont la messagerie interne Slack de l’entreprise, son compte Amazon Web Services – une infrastructure cruciale – ou encore son système de suivi des dépenses. On ignore si des données personnelles d’utilisateurs ont pu être dérobées.
Le profil qui a revendiqué le piratage a expliqué au New York Times avoir trompé la vigilance d’un employé pour obtenir son mot de passe Slack, en se faisant passer pour un responsable de l’informatique de l’entreprise. Après avoir pris le contrôle du compte de cet employé, le pirate y aurait trouvé un mot de passe lui permettant d’accéder au réseau privé virtuel (VPN) de la société, au sein duquel il aurait alors trouvé des identifiants et des mots de passe de très haut niveau pour de nombreux services utilisés par Uber. Le hackeur affirme être un jeune homme de 18 ans.
Un piratage à l’ampleur inconnue
L’étendue exacte de l’attaque est en cours d’analyse, mais certaines captures d’écran diffusées par le pirate semblent authentiques. L’une d’entre elles montre notamment une répartition crédible des dépenses validées par les principaux cadres de l’entreprise.
Cette attaque survient alors que s’est ouvert, cette semaine aux Etats-Unis, le procès de l’ancien responsable de la sécurité d’Uber, Joe Sullivan. En 2016, des pirates avaient dérobé une grande quantité de données personnelles d’utilisateurs, et avaient demandé une rançon de 100 000 euros pour ne pas les révéler publiquement. Uber avait accepté et négocié un paiement, en violation de la loi américaine qui prévoit que les entreprises doivent informer leurs clients ou utilisateurs lors d’un vol de données de cette nature.
M. Sullivan avait par la suite été licencié par Uber pour sa gestion de cette crise. Lui-même accuse l’entreprise de l’avoir utilisé comme bouc émissaire.