Quelqu’un dans votre entreprise reoit un e-mail qui semble lgitime toutefois, en un seul clic sur un lien ou en un seul tlchargement d’une pice jointe, tout le monde est bloqu hors de votre rseau. Ce lien a tlcharg un logiciel qui tient dornavant vos donnes en otage. C’est une attaque par ranongiciel. Victime dune attaque cyberntique, Joe Sullivan, alors responsable de la scurit d’Uber, plutt que de signaler la violation de donnes la FTC et de risquer un embarras public, a choisi de consulter des avocats, puis ngocier avec les pirates.
Les cybercriminels demandent de l’argent ou des cryptomonnaies, mais mme si vous payez, vous ne savez pas si les cybercriminels vont conserver vos donnes ou dtruire vos fichiers. Pendant ce temps, les informations dont vous avez besoin pour grer votre entreprise et les dtails sensibles concernant vos clients, vos employs et votre socit sont dsormais entre les mains de criminels.
En 2016, des pirates ont dcouvert un moyen d’accder aux donnes des utilisateurs d’Uber et en ont rapidement vol une copie. Uber l’a dcouvert lorsque les pirates ont envoy un courriel l’entreprise en disant qu’ils avaient acquis les informations personnelles des utilisateurs. Ils ont exig de l’argent. Sullivan et d’autres employs d’Uber ont ngoci un paiement de 100 000 dollars et convaincu les pirates de signer des accords de non-divulgation.
Sullivan tait visiblement secou lorsqu’il a appris le piratage et a dit d’autres personnes qu’il ne pouvait pas croire qu’ils avaient laiss une nime violation se produire et que l’quipe devait s’assurer que le mot de la violation ne sorte pas , selon les documents judiciaires.
l’poque, la Federal Trade Commission enqutait sur Uber dans le cadre d’une violation de donnes similaire survenue deux ans plus tt. Mais mme s’il tait au courant de l’enqute de la FTC et qu’il a parl sous serment aux enquteurs, Sullivan n’a pas inform les responsables de la FTC du piratage de 2016, selon les procureurs. Il a galement cach des informations sur l’incident aux employs d’Uber qui taient chargs de communiquer avec la FTC au sujet de l’incident prcdent, selon les documents judiciaires.
Uber a tent de grer l’incident discrtement par le biais de son programme de primes aux bugs. Les entreprises technologiques versent souvent des primes aux chercheurs en scurit qui dcouvrent et signalent des failles dans leurs logiciels. Mais les experts en la matire se sont demand si le paiement qu’Uber a vers aux pirates respectait les limites thiques de ces programmes, qui sont conus pour inciter les gens signaler les failles de scurit afin qu’elles puissent tre corriges.
En octobre, Brandon Glover, un rsident de Floride, et Vasile Mereacre, un ressortissant canadien, ont plaid coupable pour le piratage. Ils risquent chacun un maximum de cinq ans de prison fdrale et devraient tre condamns l’anne prochaine.
la question de savoir si les entreprises doivent payer les ranons, la FTC dclare : Les forces de l’ordre ne le recommandent pas, mais c’est vous de dterminer si les risques et les cots du paiement valent la possibilit de rcuprer vos fichiers. Toutefois, payer la ranon ne vous garantit pas forcment de rcuprer vos donnes.
Uber travaillerait avec le hacker
Fletcher, le responsable de l’ingnierie de la scurit des produits d’Uber, a trait l’incident comme une prime et a encourag le pirate Preacher fournir la preuve de la vulnrabilit, notamment en envoyant quelques lignes de donnes de la base de donnes qu’il avait viole.
Uber a rapidement dcouvert que certains de ses employs avaient laiss certains codes informatiques connus sous le nom de cls sur un site de programmation appel Github. Ces cls avaient permis Preacher d’accder aux serveurs web Amazon d’Uber, o taient stocks le code source ainsi que 57 millions de comptes de clients et de chauffeurs, y compris les numros de permis de conduire de quelque 600 000 chauffeurs Uber. C’tait un oubli majeur.
Les courriels entre le pirate et Fletcher ont continu. Dans certains d’entre eux, Fletcher remerciait le pirate d’avoir aid la socit rparer cet oubli. Dans deux emails, les motivations de Preacher semblaient se rapprocher du chantage. Dans l’un d’eux, il demandait une forte compensation pour ses dcouvertes. Aprs que Fletcher ait indiqu que la prime maximale de la socit tait de 10 000 dollars, Preacher a dclar que lui et son quipe n’accepteraient que « six chiffres ».
Fletcher a dclar qu’il devrait demander une autorisation pour un paiement de 100 000 dollars, et qu’il aurait besoin de l’assurance de Preacher qu’il supprimerait les donnes qu’il avait tlcharges. Fletcher a galement pouss le pirate accepter le paiement par l’intermdiaire de HackerOne, qui exige que les bnficiaires de la prime rvlent leur vritable identit pour des raisons fiscales.
Aujourdhui, Sullivan est accus d’obstruction criminelle, et le Wall Street Journal rapporte que son cas a alarm les chefs de la scurit des entreprises technologiques, qui pensent que Sullivan ne devrait pas prendre la responsabilit d’Uber. Un ancien chef de la scurit d’AT&T, Edward Amoroso, a dclar au que de nombreux officiers de scurit de haut niveau pensent » que Sullivan « n’a rien fait de mal . Amoroso a fait valoir qu’en criminalisant les dcisions de dnonciation des chefs de la scurit comme Sullivan, le ministre amricain de la Justice risque de faire reculer toute la profession de la scurit. Il a dclar qu’il tait prfrable de laisser le dbat aux communauts de scurit, et non un tribunal, pour dcider qui est responsable.
L’avocat du ministre de la Justice, Andrew Dawson, s’est fait l’cho des procureurs dans l’affaire qui disent que leur principal problme est que Sullivan n’a pas communiqu la violation pendant lenqute active de la FTC sur les dfaillances de scurit entourant la premire grande violation de donnes d’Uber. Il s’agit d’une affaire de dissimulation, de paiement et de mensonge , a dclar Dawson au tribunal. Selon le WSJ, l’quipe de Sullivan a dcid de traiter l’extorsion de 100 000 dollars des pirates pour supprimer 57 millions d’enregistrements comme un exemple de chercheurs en scurit signalant un bug .
En rgle gnrale, Uber passe des contrats avec des chercheurs en scurit et les rmunre dans le cadre d’un programme de primes aux bugs pour qu’ils dcouvrent des vulnrabilits avant les pirates. Dans ce cas, Uber a demand aux pirates de s’inscrire son programme de primes aux bugs. Ensuite, ils ont demand aux pirates de signer des accords de non-divulgation avant qu’Uber ne leur verse les 100 000 dollars en bitcoins.
Les procureurs ont dclar que cela visait dguiser l’activit illgale afin que la FTC n’y voie qu’un paiement valide dans le cadre du programme de primes aux bugs. Selon Dawson, Sullivan n’a pris ces mesures que parce que l’quipe juridique lui a dit que l’affaire pouvait tre traite comme une prime de bogue et ne constituait pas une violation de donnes signaler si les pirates supprimaient les donnes et signaient un accord de non-divulgation.
Source : The Wall Street Journal
Et vous ?
votre avis, une violation a-t-elle rellement eu lieu ?
Uber aurait-elle d divulguer la violation ?
Qui tait responsable de la dcision de divulguer ou non la violation ?
Quel sera, selon vous, l’effet de ces accusations sur le responsable de scurit ? Sur les RSSI ? Sur les conseils d’administration ?
Voir aussi :