Quels enseignements tirer de la compromission d'Uber ?
Le secteur de la cybersécurité est en ébullition à la suite de l'incident de sécurité ayant touché Uber à la mi-septembre 2022.
Lors de cette compromission, un cybercriminel aurait piraté l'infrastructure IT du géant du VTC et accédé aux données des utilisateurs, mettant ainsi en avant les vulnérabilités d'Uber.
Cependant, il est important de comprendre que cette violation n'aurait pas pu être évitée grâce à une solution unique, ni qu'il n'y a qu'une seule personne, entreprise ou fournisseur à blâmer.
Par ailleurs, cet incident est un cas d'école pour les professionnels de la sécurité, qui peuvent en tirer des enseignements. L'ingénierie sociale et la lassitude, vis-à-vis de l'authentification multifacteur (MFA), ont en effet facilité cette attaque.
Toutefois, selon certains experts, ce sont les événements qui se sont déroulés après l'accès initial qui rendent cette campagne non seulement digne d'intérêt, mais aussi source d'enseignement.
Lire aussi : Le MFA, une course à obstacles pour Snowflake
Il est ainsi important pour les entreprises d'analyser cette attaque, afin de comprendre comment des niveaux de défense peuvent se combiner pour faire obstacles à ces attaques connexes.
L'accès aux systèmes d'Uber
Selon les premiers rapports sur l'incident, le cybercriminel serait passé par différentes étapes pour s'introduire dans les systèmes d'Uber :
> L'accès initial : le hacker s'est infiltré dans l'infrastructure VPN d'Uber, grâce à des identifiants volés. Grâce à ces derniers, il a pu pénétrer ensuite dans l'environnement IT de l'entreprise.
> Phase d'exploration : le contractant, dont le compte a été piraté, avait accès à un partage de réseau, tout comme les autres employés. Il est possible que celui-ci ait été ouvert ou mal configuré lors de l'attaque, permettant ainsi la consultation étendue de la liste des contrôles d'accès.
Par la suite, le cybercriminel aurait repéré un script PowerShell contenant des informations de connexion à privilèges codées en dur pour la solution de gestion des accès à privilèges d'Uber dans le partage du réseau.
La plupart du temps, le personnel IT et les développeurs automatisent les processus en rédigeant des scripts qui exigent une forme d'authentification (par exemple, la sauvegarde manuelle ou la génération de rapports personnalisés en extrayant des données des bases de données).
Ces identifiants peuvent prendre la forme de tokens à privilèges, de clés SSH, de tokens API ou d'autres types de mots de passe.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Les développeurs intègrent généralement ces identifiants dans un code pour gagner du temps et assurer l'automatisation. Il est donc difficile de gérer celles-ci et d'en assurer la rotation, car elles sont accessibles à toute personne possédant un accès au script.
Les identifiants codés en dur utilisés dans la violation d'Uber donnaient des droits administratifs à un programme de gestion des accès à privilèges. Ainsi, ces identifiants n'auraient pas été renouvelées depuis longtemps, les rendant plus faciles à exploiter.
> L'accès au système PAM et escalade de privilèges : en subtilisant ces identifiants d'admin codés en dur, le cybercriminel a pu élever ses privilèges.
> L'accès aux secrets du système PAM et aux systèmes critiques de l'entreprise : selon Uber, le hacker aurait par la suite obtenu « des autorisations élevées pour un certain nombre d'outils ».
Il aurait notamment eu accès au SSO, et à la console de gestion du cloud qu'Uber utilise pour stocker des informations confidentielles sur les clients et les opérations financières.
> Exfiltration de données : le cybercriminel aurait alors soutiré des informations sensibles. En effet, Uber a confirmé qu'il aurait « téléchargé certains messages internes depuis Slack, mais aussi consulté ou téléchargé des données d'un outil interne que l'équipe financière utilise pour gérer certaines factures ».
Limiter les effets d'une attaque similaire
Un point phare ressort de cette compromission : le besoin d'affranchir les entreprises de tous les identifiants intégrés. En complément, il est essentiel de procéder à un inventaire de l'environnement IT afin de cibler et de supprimer celles présentes dans le code, les configurations PaaS, les outils DevOps et les applications développées en interne.
Pour faciliter ce processus, l'organisation peut se concentrer dans un premier temps sur ses données les plus vitales et critiques, avant d'étendre ces pratiques progressivement.
Par ailleurs, le risque le plus important reste le vol d'identifiants. Les récentes cyberattaques ont notamment démontré l'habilité des hackers à contourner la MFA de multiples manières.
Ainsi, il est primordial de former le personnel IT à systématiquement reconnaître et signaler les cas de phishing pour éviter les usurpations d'identité. En vue de la sophistication croissante des cybermenaces, il convient aussi de rester vigilant à tout nouveau vecteur d'attaque.
En outre, l'entreprise doit veiller à ce que les collaborateurs et les contractants extérieurs disposent du nombre minimal d'autorisations nécessaires pour s'acquitter de leurs responsabilités. L'application dogmatique du principe du moindre privilège, en commençant par les terminaux, est essentielle.
Mettre en place des programmes de gestion des accès à privilèges doit aussi figurer en haut des priorités. Les accès à privilèges ne sont à accorder que lorsque cela est absolument nécessaire, et il est impératif qu'ils soient dissociés et validés.
Une vulnérabilité révélée par cette cyberattaque est le « zéro secret » ; sujet de débat pour les professionnels de la sécurité. Que se passe-t-il si quelqu'un parvient à s'emparer de la clé qui protège toutes les autres ?
Il faut ainsi implémenter de solides contrôles qui analysent les systèmes et leurs couches de protection en profondeur, pour être à la fois proactifs et réactifs face aux cybermenaces. Ces contrôles permettent aux équipes de sécurité de déterminer quels outils déployer, à la fois pour détecter et pour bloquer les intrusions, même si la MFA est compromise.
Limiter les déplacements latéraux joue également un rôle important. Pour y parvenir, il suffit de supprimer l'accès permanent aux infrastructures sensibles et aux interfaces en ligne ou dans le cloud. L'élévation des privilèges « juste-à-temps » bloque aussi l'accès à toute identité volée, réduisant ainsi le rayon d'action d'un cybercriminel, surtout lorsqu'elle est associée à une authentification robuste.
Il n'existe pas de solution miracle pour enrayer les cyberattaques, et cela s'est reflété dans la violation d'Uber. De même, il convient de rappeler que les outils et le personnel IT ne sont pas en cause.
Pourtant, il est possible de maîtriser la gravité de la situation. Les compromissions peuvent être atténuées par des défenses de cybersécurité robustes, comportant différentes couches. Aussi, une formation continue et répétée des employés est bénéfique pour connaître les sources potentielles de danger.
La mise en place de dispositifs limitant les accès permanents complique également la tâche des hackers qui veulent prendre pied, se déplacer, explorer et compromettre des données ; ce qui permet in fine de limiter l'impact des cybermenaces.
Illustration : DR @Uber
Sur le même thème
Voir tous les articles Cybersécurité