Uber ou la nécessité de l’authentification forte
Encore une ! Le géant des VTC a été une nouvelle fois victime d’une attaque informatique d’envergure, dans la mesure où 57 millions de données clients et chauffeurs ont été dérobées. Concernant les clients, il s’agit d’adresses mail et de numéros de téléphone mobile. Le reste des données aurait été épargné, que ce soient les informations bancaires ou les historiques de trajets. Par ailleurs, 600 000 chauffeurs sont aussi concernés, leurs noms et numéros de permis de conduire étant passés entre les mains du ou des pirates. Le ou les pirates – ils seraient deux – auraient réussi à accéder au SI via le compte d’un développeur dont les identifiants ont été récupérés sur GitHub. D’où l’importance de systèmes à authentification forte, à double facteurs, etc., qui manque encore cruellement dans les entreprises. Mais le pire est peut- être ailleurs : l’information ne ressort que fin 2017, mais elle remonte à octobre 2016. L’ex- PDG d’Uber, Travis Kalanick, était probablement au courant, et aurait aussi dissimulé l’information. L’entreprise a payé une rançon de 100 000 dollars pour effacer lesdites informations. Joe Sullivan, le Chief Security Officer congédié en novembre, aurait quant à lui dissimulé la conciliation sous couvert d’une opération de bug bounty. CEO depuis août dernier, Dara Khosrowshahi a présenté ses excuses. Pas certain que les utilisateurs qui se sentent floués retrouvent la confiance dans le service désormais… C’est aussi une leçon à méditer pour tous les services innovants, à quelques mois de l’adoption du RGPD.