Le secteur de la cybersécurité est en ébullition à la suite de l’incident de sécurité ayant touché Uber à la mi-septembre 2022.
Lors de cette compromission, un cybercriminel aurait piraté l’infrastructure informatique du géant du VTC et accédé aux données des utilisateurs, se mettant ainsi en avant les vulnérabilités d’Uber.
Cependant, il est important de comprendre que cette violation n’aurait pas pu être supprimée grâce à une solution unique, ni qu’il n’y a qu’une seule personne, entreprise ou fournisseur à blâmer.
Par ailleurs, cet incident est un cas d’école pour les professionnels de la sécurité, qui peut en tirer des enseignements. L’ingénierie sociale et la lassitude, vis-à-vis de l’authentification multifacteur (MFA), ont en effet facilité cette attaque.
Cependant, selon certains experts, ce sont les événements qui se sont produits après l’accès initial qui produit cette campagne non seulement digne d’intérêt, mais aussi source d’enseignement.
Il est ainsi important pour les entreprises d’analyser cette attaque, afin de comprendre comment des niveaux de défense peuvent se combiner pour faire des obstacles à ces attaques connexes.
L’accès aux systèmes d’Uber
Selon les premiers rapports sur l’incident, le cybercriminel serait passé par différentes étapes pour s’introduire dans les systèmes d’Uber :
> L’accès initial : le hacker s’est infiltré dans l’infrastructure VPN d’Uber, grâce à des identifiants volés. Grâce à ces derniers, il a pu pénétrer ensuite dans l’environnement informatique de l’entreprise.
> Phase d’exploration : le contractant, dont le compte a été piraté, avait accès à un partage de réseau, tout comme les autres employés. Il est possible que celui-ci ait été ouvert ou mal configuré lors de l’attaque, permettant ainsi la consultation étendue de la liste des contrôles d’accès.
Par la suite, le cybercriminel aurait identifié un script PowerShell contenant des informations de connexion à privilèges codées en dur pour la solution de gestion des accès à privilèges d’Uber dans le partage du réseau.
La plupart du temps, le personnel informatique et les développeurs automatisent les processus en rédigeant des scripts qui exigent une forme d’authentification (par exemple, la sauvegarde manuelle ou la génération de rapports personnalisés en extrayant des données des bases de données).
Ces identifiants peuvent prendre la forme de tokens à privilèges, de clés SSH, de tokens API ou d’autres types de mots de passe.
Les développeurs incorporent généralement ces identifiants dans un code pour gagner du temps et assurer l’automatisation. Il est donc difficile de gérer celles-ci et d’en assurer la rotation, car elles sont accessibles à toute personne possédant un accès au script.
Les identifiants codés en dur utilisés dans la violation d’Uber donnaient des droits administratifs à un programme de gestion des accès à privilèges. Ainsi, ces identifiants n’auraient pas été renouvelés depuis longtemps, les rendant plus faciles à exploiter.
> L’accès au système PAM et escalade de privilèges : en subtilisant ces identifiants d’admin codés en dur, le cybercriminel a pu élever ses privilèges.
> L’accès aux secrets du système PAM et aux systèmes critiques de l’entreprise : selon Uber, le hacker aurait par la suite obtenu « des autorisations élevées pour un certain nombre d’outils ».
Il aurait notamment eu accès au SSO, et à la console de gestion du cloud qu’Uber utilise pour stocker des informations confidentielles sur les clients et les opérations financières.
> Exfiltration de données : le cybercriminel aurait alors soutiré des informations sensibles. En effet, Uber a confirmé qu’il aurait « téléchargé certains messages internes depuis Slack, mais aussi consultés ou téléchargés des données d’un outil interne que l’équipe financière utilise pour gérer certaines factures ».
Limiter les effets d’une attaque similaire
Un point phare ressort de cette compromission : le besoin d’affranchir les entreprises de tous les identifiants intégrés. En complément, il est essentiel de procéder à un inventaire de l’environnement informatique afin de cibler et de supprimer celles présentes dans le code, les configurations PaaS, les outils DevOps et les applications développées en interne.
Pour faciliter ce processus, l’organisation peut se concentrer dans un premier temps sur ses données les plus vitales et critiques, avant d’étendre ces pratiques progressivement.
Par ailleurs, le risque le plus important reste le vol d’identifiants. Les cyberattaques récentes ont notamment démontré l’habilité des hackers à contourner la MFA de multiples manières.
Ainsi, il est primordial de l’ancien personnel informatique à systématiquement reconnaître et signaler les cas de phishing pour éviter les usurpations d’identité. En vue de la sophistication croissante des cybermenaces, il convient aussi de rester vigilant à tout nouveau vecteur d’attaque.
En outre, l’entreprise doit veiller à ce que les collaborateurs et les contractants disposent d’un nombre minimal d’autorisations nécessaires pour s’acquitter de leurs responsabilités. L’application dogmatique du principe du moindre privilège, en commençant par les terminaux, est essentielle.
Mettre en place des programmes de gestion des accès à privilèges doit aussi figurer en haut des priorités. Les accès à privilèges ne sont à accorder que lorsque cela est absolument nécessaire, et il est impératif qu’ils soient dissociés et validés.
Une vulnérabilité révélée par cette cyberattaque est le « zéro secret » ; sujet de débat pour les professionnels de la sécurité. Que se passe-t-il si quelqu’un parvient à s’emparer de la clé qui protège toutes les autres ?
Il faut ainsi implémenter des contrôles solides qui analysent les systèmes et leurs couches de protection en profondeur, pour être à la fois proactifs et réactifs face aux cybermenaces. Ces contrôles permettent aux équipes de sécurité de déterminer quels outils efficaces, à la fois pour détecter et pour bloquer les intrusions, même si la MFA est compromise.
Limiter les déplacements latéraux joue également un rôle important. Pour y parvenir, il suffit de supprimer l’accès permanent aux infrastructures sensibles et aux interfaces en ligne ou dans le cloud. L’élévation des privilèges « juste-à-temps » bloque également l’accès à toute identité volée, favorisant ainsi le rayon d’action d’un cybercriminel, surtout lorsqu’elle est associée à une authentification robuste.
Il n’existe pas de solution miracle pour enrayer les cyberattaques, et cela s’est reflété dans la violation d’Uber. De même, il convient de rappeler que les outils et le personnel informatique ne sont pas en cause.
Pourtant, il est possible de maîtriser la gravité de la situation. Les compromissions peuvent être atténuées par des défenses de cybersécurité robustes, comportant différentes couches. Aussi, une formation continue et répétée des employés est bénéfique pour connaître les sources potentielles de danger.
La mise en place de dispositifs limitant les accès permanents complique également la tâche des hackers qui veulent prendre pied, se déplacer, explorer et compromettre des données ; ce qui permet in fine de limiter l’impact des cybermenaces.
Illustration : DR @Uber
