Piratage d’Uber : le « hack » de trop

L’affaire a été rendue publique cette semaine : deux pirates informatiques ont hacké les contenus des comptes de 57 millions de clients et conducteurs d’Uber. Les données piratées comprennent noms, adresses électroniques et numéros de téléphone des utilisateurs du service de transport. Les détails des permis de conduire de 600 000 conducteurs américains de l’entreprise ont également été dérobés.

Mais les révélations ne s’arrêtent pas là et engagent la responsabilité d’Uber. L’attaque informatique a eu lieu il y a plus d’un an, en octobre 2016. Si elle n’est dévoilée que maintenant, c’est que l’entreprise a tenté de la cacher à ses clients, omettant de signaler cette violation comme la loi l’impose. À la place, Uber a versé aux deux pirates la somme de 100 000 dollars en échange de la suppression des données volées et de leur silence.

Après avoir été informé du piratage, le nouveau PDG de la plateforme Dara Khosrowshahi a admis que l’incident n’aurait pas dû être dissimulé. Cette semaine, le directeur de la sécurité informatique d’Uber et un juriste ont été licenciés à la suite d’une enquête interne.

Les manquements des développeurs
Cet incident est l’énième symptôme d’une culture d’entreprise et d’une gouvernance dysfonctionnelles qui, après une succession d’erreurs, ont abouti à la démission de l’ancien PDG et fondateur Travis Kalanick en juin dernier. De toute évidence, Dara Khosrowshahi, à la tête de la société depuis le mois d’août, a du pain sur la planche pour bouleverser cette culture ancrée jusque dans les hautes sphères d’Uber – sa direction et son conseil d’administration.

La gouvernance d’entreprise n’est cependant pas le seul problème dans cette affaire de piratage. Les données volées étaient stockées sur le cloud S3 d’Amazon Web Services (AWS). Non cryptées, elles n’étaient protégées que par une clé de sécurité que les pirates informatiques ont obtenue à partir du code source d’un logiciel hébergé sur un autre site de cloud, GitHub. D’une manière ou d’une autre, les pirates ont réussi à se procurer le nom d’utilisateur et le mot de passe ouvrant l’accès à ce logiciel.

D’un point de vue pratique, un certain nombre d’erreurs fondamentales ont été commises par les développeurs d’Uber. Premièrement, laisser des informations de sécurité dans le code source de programmes stockés sur GitHub est une faute majeure. Deuxièmement, il est probable que les développeurs dont le nom d’utilisateur et le mot de passe ont été subtilisés n’aient pas activé l’identification à deux facteurs : cela aurait largement compliqué l’accès aux pirates, quand bien même ils possédaient un nom d’utilisateur et un mot de passe. Enfin, il reste à se demander ce que faisaient des données non cryptées sur le stockage cloud d’Amazon…

Loin d’être les seuls
Maigre consolation pour Uber : elle n’est pas la première société à voir les informations de ses clients pillées depuis le stockage S3 du géant de la vente en ligne. Très récemment, des renseignements confidentiels provenant de 9 400 anciens combattants – pour la plupart Américains – qui postulaient à des emplois dans le domaine de la sécurité par l’intermédiaire de la société TalentPen étaient accessibles à tout utilisateur des services web d’Amazon.

Autre événement notable : en septembre, Time Warner Cable a exposé les renseignements de quatre millions de ses clients en laissant ouverte une base de données contenue sur Amazon S3. Ces faits ne sont pas des cas isolés, et ne font que s’ajouter à une liste d’incidents dont la multiplicité démontre les failles d’une technologie de stockage trop facile d’accès.

L’entreprise de Jeff Bezos a depuis renforcé la sécurité de son cloud en autorisant le cryptage et la mise en évidence des contenus accessibles au public. Elle avertit également les développeurs lorsqu’elle trouve des clés de ses services publiées dans des zones potentiellement publiques, comme GitHub.

Repousser les limites de la légalité
Vue sous cet angle, l’histoire d’Uber n’est donc pas rare. Mais l’apparent mépris de la société pour la sécurité en fait une exception. Lorsque, un mois après le piratage, le PDG de l’époque fut alerté de l’incident, il décida de ne pas le révéler. Joe Sullivan, alors directeur de la sécurité informatique, aurait été prêt à repousser les limites de la légalité et à fermer les yeux sur certaines pratiques douteuses.

Dara Khosrowshahi a fait ce qu’il fallait en les dévoilant et en s’attaquant à la culture d’entreprise d’Uber. Il devra redoubler d’efforts pour regagner la confiance des utilisateurs, après que 500 000 de ses clients ont supprimé l’application en rejoignant la campagne #DeleteUber, très suivie sur les réseaux sociaux depuis janvier 2017.

Il règne aujourd’hui le sentiment que les leaders technologiques ont perdu le contrôle de leurs créations et que ces épisodes de piratage sont devenus la norme.

Vers une réglementation
Tout le monde au sein d’une entreprise technologique devrait connaître et maîtriser les ressorts de la cybersécurité : du chef de la direction au personnel, en passant par les membres du conseil d’administration. Les sociétés devraient mettre en place des systèmes de gestion de la sécurité de l’information qui évalueraient tous les risques auxquels elles s’exposent, et préciser ce qu’elles font pour réduire ces risques. Il faudrait également contrôler le bon fonctionnement de ces systèmes et instaurer une culture qui récompense le signalement des incidents, y compris auprès des services de police et des organismes de réglementation extérieurs.

Chaque incident, qu’il s’agisse de l’utilisation des médias sociaux pour interférer dans des élections ou du mépris de la vie privée, renforce les arguments en faveur d’une réglementation. Si les entreprises n’investissent pas pour que leurs plateformes respectent les valeurs sociales, les gouvernements devront appliquer des règles qui s’en assureront.

David Glance, Director of UWA Centre for Software Practice, University of Western Australia

La version originale de cet article a été publiée sur The Conversation.

 
VOIR AUSSI