La bourse est fermée
  • Dow Jones

    30 044,70
    -229,17 (-0,76 %)
     
  • Nasdaq

    11 117,24
    -31,40 (-0,28 %)
     
  • Nikkei 225

    27 311,30
    +190,80 (+0,70 %)
     
  • EUR/USD

    0,9812
    -0,0073 (-0,74 %)
     
  • HANG SENG

    18 012,15
    -75,82 (-0,42 %)
     
  • BTC-EUR

    20 510,91
    -238,36 (-1,15 %)
     
  • CMC Crypto 200

    457,59
    -5,53 (-1,19 %)
     
  • S&P 500

    3 759,76
    -23,52 (-0,62 %)
     

Comment un hacker de 18 ans s’est introduit dans le système informatique d’Uber

On en sait un peu plus sur l’attaque subie par Uber en fin de semaine dernière, où tous les systèmes ont été infiltrés par un pirate. Tout d’abord l’âge du pirate en question : 18 ans. De plus, il aurait agi seul. Un exploit pour quelqu’un de si jeune.

La première étape de l’attaque reste floue. Le pirate a réussi à obtenir les identifiants d’un employé d’Uber mais n’a pas précisé comment c’est arrivé. Toutefois, le compte de l’employé en question n’aurait pas permis d’accéder aux systèmes critiques de l’entreprise. De plus, à cause de l’authentification multi-facteurs (MFA), un identifiant et un mot de passe ne suffisent pas. Pour accéder en profondeur aux systèmes d’Uber, il a pu profiter de deux gaffes de l’entreprise.

Un employé eu à l’usure

Le pirate en question s’est vanté d’avoir utilisé une technique baptisée MFA fatigue. Pour sécuriser les connexions, Uber utilise les notifications push. Autrement dit, l’utilisateur reçoit une notification lui demandant d’autoriser l’accès d’un appareil qui tente de se connecter avec son compte. Le pirate a inondé l’employé de notifications pendant une heure afin de baisser sa vigilance. C’est la première gaffe : le système de sécurité du MFA ne détecte pas ce genre d’abus, alors qu’il aurait dû attirer l’attention d’un administrateur ou verrouiller le compte visé. Le hacker l’a ensuite contacté via WhatsApp en prétendant être du service informatique d’Uber, lui indiquant qu’il devait accepter la demande pour que ça cesse. L’employé s’est aussitôt exécuté.

De là, le pirate a pu se connecter à l’intranet d’Uber mais il n’avait pas encore un accès suffisant pour les éléments plus...

> Lire la suite sur Futura

À lire aussi sur Futura