Quelqu'un dans votre entreprise reçoit un e-mail qui semble légitime toutefois, en un seul clic sur un lien ou en un seul téléchargement d'une pièce jointe, tout le monde est bloqué hors de votre réseau. Ce lien a téléchargé un logiciel qui tient dorénavant vos données en otage. C'est une attaque par rançongiciel. Victime d’une attaque cybernétique, Joe Sullivan, alors responsable de la sécurité d'Uber, plutôt que de signaler la violation de données à la FTC et de risquer un embarras public, a choisi de consulter des avocats, puis négocier avec les pirates.
Les cybercriminels demandent de l'argent ou des cryptomonnaies, mais même si vous payez, vous ne savez pas si les cybercriminels vont conserver vos données ou détruire vos fichiers. Pendant ce temps, les informations dont vous avez besoin pour gérer votre entreprise et les détails sensibles concernant vos clients, vos employés et votre société sont désormais entre les mains de criminels.
En 2016, des pirates ont découvert un moyen d'accéder aux données des utilisateurs d'Uber et en ont rapidement volé une copie. Uber l'a découvert lorsque les pirates ont envoyé un courriel à l'entreprise en disant qu'ils avaient acquis les informations personnelles des utilisateurs. Ils ont exigé de l'argent. Sullivan et d'autres employés d'Uber ont négocié un paiement de 100 000 dollars et convaincu les pirates de signer des accords de non-divulgation.
Sullivan était « visiblement secoué » lorsqu'il a appris le piratage et a dit à d'autres personnes qu'il « ne pouvait pas croire qu'ils avaient laissé une énième violation se produire et que l'équipe devait s'assurer que le mot de la violation ne sorte pas », selon les documents judiciaires.
À l'époque, la Federal Trade Commission enquêtait sur Uber dans le cadre d'une violation de données similaire survenue deux ans plus tôt. Mais, selon les procureurs, même s'il était au courant de l'enquête de la FTC et qu'il a parlé sous serment aux enquêteurs, Sullivan n'a pas informé les responsables de la FTC du piratage de 2016. Selon les documents judiciaires, il a également caché des informations sur l'incident aux employés d'Uber qui étaient chargés de communiquer avec la FTC au sujet du précédent incident.
Uber a tenté de gérer l'incident discrètement par le biais de son programme de primes aux bugs. Les entreprises technologiques versent souvent des primes aux chercheurs en sécurité qui découvrent et signalent des failles dans leurs logiciels. Mais les experts en la matière se sont demandé si le paiement qu'Uber a versé aux pirates respectait les limites éthiques de ces programmes, qui sont conçus pour inciter les gens à signaler les failles de sécurité afin qu'elles puissent être corrigées.
En octobre, Brandon Glover, un résident de Floride, et Vasile Mereacre, un ressortissant canadien, ont plaidé coupable pour le piratage. Ils risquent chacun un maximum de cinq ans de prison fédérale et devraient être condamnés l'année prochaine.
À la question de savoir si les entreprises doivent payer les rançons, la FTC déclare : « Les forces de l'ordre ne le recommandent pas, mais c'est à vous de déterminer si les risques et les coûts du paiement valent la possibilité de récupérer vos fichiers. Toutefois, payer la rançon ne vous garantit pas forcément de récupérer vos données. »
Uber travaillerait avec le hacker
Fletcher, le responsable de l'ingénierie de la sécurité des produits d'Uber, a traité l'incident comme une prime et a encouragé le pirate Preacher à fournir la preuve de la vulnérabilité, notamment en envoyant quelques lignes de données de la base de données qu'il avait violée.
Uber a rapidement découvert que certains de ses employés avaient laissé certains codes informatiques connus sous le nom de clés sur un site de programmation appelé Github. Ces clés avaient permis à Preacher d'accéder aux serveurs web Amazon d'Uber, où étaient stockés le code source ainsi que 57 millions de comptes de clients et de chauffeurs, y compris les numéros de permis de conduire de quelque 600 000 chauffeurs Uber. C'était un oubli majeur.
Les courriels entre le pirate et Fletcher ont continué. Dans certains d'entre eux, Fletcher remerciait le pirate d'avoir aidé la société à réparer cet oubli. Dans deux emails, les motivations de Preacher semblaient se rapprocher du chantage. Dans l'un d'eux, il demandait une « forte compensation » pour ses découvertes. Après que Fletcher ait indiqué que la prime maximale de la société était de 10 000 dollars, Preacher a déclaré que lui et son équipe n'accepteraient que "six chiffres".
Fletcher a déclaré qu'il devrait demander une autorisation pour un paiement de 100 000 dollars, et qu'il aurait besoin de l'assurance de Preacher qu'il supprimerait les données qu'il avait téléchargées. Fletcher a également poussé le pirate à accepter le paiement par l'intermédiaire de HackerOne, qui exige que les bénéficiaires de la prime révèlent leur véritable identité pour des raisons fiscales.
Aujourd’hui, Sullivan est accusé d'obstruction criminelle, et le Wall Street Journal rapporte que son cas a alarmé les chefs de la sécurité des entreprises technologiques, qui pensent que Sullivan ne devrait pas prendre la responsabilité d'Uber. Un ancien chef de la sécurité d'AT&T, Edward Amoroso, a déclaré au que « de nombreux officiers de sécurité de haut niveau pensent" que Sullivan "n'a rien fait de mal ». Amoroso a fait valoir qu'en criminalisant les décisions de dénonciation des chefs de la sécurité comme Sullivan, le ministère américain de la Justice risque de faire reculer toute la profession de la sécurité. Il a déclaré qu'il était préférable de laisser le débat aux communautés de sécurité, et non à un tribunal, pour décider qui est responsable.
L'avocat du ministère de la Justice, Andrew Dawson, s'est fait l'écho des procureurs dans l'affaire qui disent que leur principal problème est que Sullivan n'a pas communiqué la violation pendant l’enquête active de la FTC sur les défaillances de sécurité entourant la première grande violation de données d'Uber. « Il s'agit d'une affaire de dissimulation, de paiement et de mensonge », a déclaré Dawson au tribunal. Selon le WSJ, l'équipe de Sullivan a décidé de traiter l'extorsion de 100 000 dollars des pirates pour supprimer 57 millions d'enregistrements comme « un exemple de chercheurs en sécurité signalant un bug ».
En règle générale, Uber passe des contrats avec des chercheurs en sécurité et les rémunère dans le cadre d'un « programme de primes aux bugs » pour qu'ils découvrent des vulnérabilités avant les pirates. Dans ce cas, Uber a demandé aux pirates de s'inscrire à son programme de primes aux bugs. Ensuite, ils ont demandé aux pirates de signer des accords de non-divulgation avant qu'Uber ne leur verse les 100 000 dollars en bitcoins.
Les procureurs ont déclaré que cela visait à déguiser l'activité illégale afin que la FTC n'y voie qu'un paiement valide dans le cadre du programme de primes aux bugs. Selon Dawson, Sullivan n'a pris ces mesures que parce que l'équipe juridique lui a dit que « l'affaire pouvait être traitée comme une prime de bogue et ne constituait pas une violation de données à signaler si les pirates supprimaient les données et signaient un accord de non-divulgation. »
Source : The Wall Street Journal
Et vous ?
À votre avis, une violation a-t-elle réellement eu lieu ?
Uber aurait-elle dû divulguer la violation ?
Qui était responsable de la décision de divulguer ou non la violation ?
Quel sera, selon vous, l'effet de ces accusations sur le responsable de sécurité ? Sur les RSSI ? Sur les conseils d'administration ?
Voir aussi :
Uber : le piratage des données de 2016 aurait été commis par un hacker de 20 ans, payé 100 000 $ sous forme de prime de bug bounty pour son silence
Waymo vs Uber : le juge choqué aurait accusé Uber de dissimuler des preuves, après avoir appris que l'entreprise aurait acheté le silence d'un employé
Uber : un cadre accusé d'avoir déguisé une extorsion de données en « prime de bug »,
En signant des accords de non-divulgation pour recevoir 100 000 dollars en bitcoins
Uber : un cadre accusé d'avoir déguisé une extorsion de données en « prime de bug »,
En signant des accords de non-divulgation pour recevoir 100 000 dollars en bitcoins
Le , par Bruno
Une erreur dans cette actualité ? Signalez-nous-la !