Uber, le géant du VTC, s’est fait hacker le 15 septembre 2022.
Avant de continuer, et si vous êtes client d’Uber, allez vérifier que tout est kosher sur votre compte . Surtout si vous avez lié votre compte à une carte prépayée , ou pire, à une carte bancaire.
A l’origine de cette attaque, Lapsu$, un collectif de hackers qui exploité deux failles de sécurité d’origine purement humaine.
C’est une histoire qui m’intéresse particulièrement car elle illustre à quel point le meilleur des systèmes de sécurité peut être mis à mal par le manque de vigilance de ses utilisateurs.
Dans un premier temps,
Les hackers ont pu avoir accès aux identifiants et aux mots de passe via un système de partage de fichiers réseau.
Tel Google Drive, Office 365, Dropbox ou un NAS .
Voila, voila… bon, si vous faites pareil, arrêtez tout de suite et utilisez plutôt un gestionnaire de mots de passe , tel LastPass . En plus d’être gratuit, cet utilitaire encrypte vos mots de passe et les transforme en de longues chaînes de caractère aléatoires, ne pouvant être décryptées qu’avec une clé stockée sur votre machine .
En termes plus clairs, même si un hacker réussi à hacker votre compte, il ne pourra pas lire vos mots de passe, étant donné qu’il ne dispose pas de la clé pour les décrypter.
Enfin, il permet de partager des mots de passe de façon sécurisée.
En gros, tout ce qu’un simple système de partage de fichiers sur le réseau ne fait pas (ou n’est pas censé faire. On ne partage des données sensibles via ce genre d’outils).
Ensuite,
une fois les informations récupérées, les hackers ont ont pu contourner l’authentification à deux facteurs (2FA) et accéder à l’ensemble du réseau interne d’Uber, incluant la base de données de ses failles de sécurité .
Autrement dit, Jackpot.
2FA est un mécanisme que vous rencontrez lorsque, par exemple, vous essayez de vous connecter à votre compte Google sur un autre appareil que celui que vous avez l’habitude d’utiliser. Google vous demandera alors de valider la connexion en envoyant un message sur un appareil que vous avez l’habitude d’utiliser. La validation peut être faite en appuyant sur un bouton « oui » ou, si l’adresse IP qui essaie de se connecter à votre compte est suspecte, en vous demandant de résoudre un challenge ( indiquer le numéro qui s’affiche sur l’ordinateur qui est entrain d’accéder à votre compte Google).
Un autre exemple de 2FA est le code envoyé via SMS par Glovo lorsque vous vous connectez à l’application.
Il existe plusieurs moyens de mettre en place 2FA , qui varient d’une application à l’autre. Mais dans la plupart des cas, il s’agit de saisir un code à 6 chiffres après avoir saisi votre mot de passe et votre nom d’utilisateur dans une app donnée. Personnellement j’utilise Google Authenticator, qui est un générateur de codes 2FA compatible avec bon nombre d’app android et iOS .
Comment les hackers d’Uber ont ils contourné cette mesure de sécurité ?
En envoyant à plusieurs reprises des demandes d’authentification à deux facteurs, dans l’espoir que l’utilisateur autorisé soit fasse une erreur, soit se lasse des nombreuses demandes et appuie sur le bouton autoriser pour avoir la paix.
Et ça a marché.
Quelqu’un en a eu marre et a appuyé sur « oui » pour pouvoir retourner à une activité productive ( regarder des vidéos de chats sur Youtube, se rincer les yeux sur TikTok ou aller continuer à peigner le poil dans sa main)
Bref,
Cet incident rajoute de l’eau au moulin de ces personnes qui pensent que, et je cite, « 2FA c’est trop compliqué » , « 2FA ça sert à rien », etc, fin de citation.
Alors, faut il laisser pour autant laisser tomber le 2FA ?
Non, bien évidemment. Certes, 2FA ne permet d’avoir une sécurité parfaite, mais il n’y a pas, à mon avis, de meilleur moyen d’assurer la sécurité d’un compte. C’est également un bon moyen pour ralentir, voire freiner les hackers et il est plutôt, facile à configurer.
Le problème ici est la fameuse erreur 22 ( comme disait un professeur de sécurité informatique à l’Université de Sherbrooke). En termes plus clairs, l’individu qui se trouve à 22 cm de l’écran de l’ordinateur.
Il est primordial de former ce dernier aux bonnes pratiques de sécurité et à plus de vigilance afin d’éviter ce genre de déconvenues.
