Posté le septembre 13, 2019 à 18:07
UNE FAILLE D’UBER AURAIT PU PERMETTRE AUX HACKERS DE COMMANDER DES TRAJETS ET DE LA NOURRITURE SUR LES COMPTES DES CLIENTS
Uber, la célèbre société de réseaux de transport connue pour permettre aux internautes de trouver une canette en quelques secondes via une interface mobile, a récemment corrigé une faille importante en matière de sécurité qui aurait permis à cybercriminels d’utiliser leurs comptes via leur numéro de téléphone mobile et leur adresse électronique.
Les hackers auraient également pu utiliser cette vulnérabilité pour commander de la nourriture aux frais des clients et pour connaître l’emplacement en temps réel d’un client Uber. La faille a été dévoilée et rapportée à Uber par Anand Prakesh, spécialiste de la sécurité en ligne, et elle était exploitable dès le mois d’avril. Et elle a été corrigée récemment.
Le chercheur qui a découvert la faille a fourni un numéro de téléphone portable ou même une adresse e-mail liée à un compte dans l’API (Application Programmer Interface) d’Uber et a obtenu l’accès aux informations de connexion ou au jeton d’accès d’un client.
Reconnu par le programme de prime aux bugs d’Uber
Afin de s’assurer que leurs applications peuvent fonctionner avec la société de réseau de transport connue, les API envoient des données à partir d’Uber aux développeurs des applications. Google Maps en est un parfait exemple.
L’entreprise elle-même, une fois que Prakesh lui a signalé la faille, a reconnu les contributions du chercheur et, dans le cadre de son programme de primes aux bugs, a remis à Prakesh un prix de 6 500 $, soit 5 300 £. La faille a été classée comme 8,5 sur une échelle de 1 à 10, dix étant la plus grave. La société verse un maximum de 50 000 $ pour les contributions communautaires de ce type.
Plusieurs entreprises très en vue aux États-Unis et à l’échelle mondiale adoptent de plus en plus des programmes similaires de primes aux bugs, car ils représentent un scénario gagnant-gagnant potentiel où les chercheurs sont récompensés pour leur talent, leurs compétences et leur travail, et l’entreprise en question résout une situation potentiellement dangereuse. Google en est un excellent exemple.
Heureusement pour les utilisateurs et pour la réputation de la société elle-même, Uber a réagi rapidement après que la vulnérabilité potentielle a été portée à son attention et l’a corrigée quelques jours seulement après la notification.
Un porte-parole d’Uber a déclaré que l’entreprise ne pensait pas que la faille était exploitée par des criminels travaillant sur la plate-forme numérique, affirmant qu’Uber mettait en œuvre une protection automatisée capable de détecter rapidement tout comportement ou activité douteux.
Mesures de protection automatisées
Les mesures de protection automatisées de l’entreprise peuvent, par exemple, détecter si un client se connecte depuis un appareil inhabituel et émettre une alerte sous la forme d’une confirmation ou d’une autorisation permettant de réinitialiser les informations de connexion. Tout est conçu avec la sécurité en ligne comme facteur principal.
Selon les données d’Uber, le programme de primes de la grande entreprise a versé, à ce jour, plus de 2 millions de dollars en guise d’appréciation pour les chercheurs et les chercheurs indépendants qui s’efforcent continuellement de porter à son attention les défauts et les failles. Plus de 600 personnes ont bénéficié du programme dans plusieurs endroits du monde.
L’approche de piratage des identifiants de connexion et des comptes a été utilisée à l’origine par un cybercriminel associé à une attaque contre le géant des réseaux sociaux Facebook, en octobre de l’année dernière.
Cas similaires de vol de jetons d’accès
Le cybercriminel a mis en œuvre la même stratégie: il a volé des «jetons d’accès» et, dans la foulée, plus de 30 millions de comptes sur Facebook ont été piratés. À ce jour, l’auteur ou l’association à l’origine de cette attaque n’a pas été identifié et une enquête a été ouverte par le FBI l’année dernière.
Uber est l’une des sociétés les plus connues au monde dans son domaine, avec des opérations dans près de 800 sites à travers le monde. Selon des données récentes, la société se chiffre à environ 57 milliards de dollars.
Le programme de primes d’Uber devient une nécessité, car, comme c’est souvent le cas chez les grandes entreprises qui font leur vie en ligne, les menaces existantes sont souvent plus grandes et plus puissantes que le personnel de cybersécurité de l’entreprise. Offrir des récompenses aux chercheurs capables de détecter les failles dangereuses reste une excellente idée.