Le 19 septembre, Uber révélait que la récente violation subie par l'entreprise était dûe à une attaque d'authentification de type "MFA fatigue" pendant laquelle le hacker s'était fait passer pour un membre de l’équipe de sécurité d'Uber.
Les attaques MFA sont une forme d'ingénierie sociale qui consiste à spammer une victime via des requêtes MFA répétées jusqu'à obtenir l'accès au système. Ce type d'attaque est rendu possible lorsque l'auteur de la menace obtient l'accès aux identifiants de connexion de l'entreprise mais ne peut pas accéder au compte à cause de l'authentification multifacteur.
Selon Uber,
Il est probable que le hacker ait obtenu le mot de passe de l'entreprise Uber sur le dark web après que l'appareil personnel de l'entrepreneur ait été infecté par un logiciel malveillant.
Pour que cette probabilité d'une attaque de fatigue MFA réussisse, le chercheur en sécurité Kevin Beaumont a rappelé sur Twitter qu'il s'agit là de la même technique utilisée lors des récentes attaques LAPSUS$, et pour lesquelles le hacker aurait déclaré que : "appelez l'employé 100 fois à 1h du matin alors qu'il essaie de dormir et il acceptera plus facilement".
Dans le cas d'Uber, l'approche était cependant différente. Comme l'a raconté Lawrence Abrams pour Bleeping Computer, le chercheur en sécurité Corben Leo a contacté le hacker à l'origine de la violation. Il a découvert que celui-ci avait contacté l'entrepreneur sur WhatsApp en se faisant passer pour un employé de la sécurité d'Uber et lui aurait dit que le seul moyen de se débarrasser des notifications ininterrompues c'est d'en accepter un.
Une fois que l'appareil du hacker a été autorisé à accéder à l'intranet d'Uber, il s'est mis à analyser le réseau de l'entreprise en quête d'un script PowerShell qui incluait des informations d'identification d'administrateur utilisées par la plateforme Uber pour gérer ses connexions secrètes y compris DA, DUO, Onelogin, AWS et Gsuite. Ainsi, il a pu récupérer le code source et, plus inquiétant, il a pu avoir accès au programme de primes de bugs appelé HackerOne d'Uber. Le pirate a pu ensuite obtenir des informations sur les rapports de vulnérabilité pas encore corrigés.
Lors d'une conversation avec InfoQ, le responsable de confiance de chez Cerby, Matt Chiodi, a déclaré que "si ce qui est rapporté est vrai, il s'agirait là d'un niveau d'accès sans précédent, plus important comparé au piratage SolarWinds". Selon Chiodi, une façon de diminuer l'impact de tels incidents consiste à appliquer une stratégie Zero Trust, qui consiste à ne faire confiance à aucun appareil même ceux situés à l'intérieur des limites du réseau de l'entreprise.
"Le modèle de sécurité Zero Trust peut limiter considérablement les problèmes. Par exemple, IBM a découvert dans ses recherches que lorsque les modèles de sécurité Zero Trust sont mis en œuvre par une entreprise, le coût d'une violation est réduit de 42 %”
Varun Badhwar, fondateur et PDG de la startup Endor Labs, a publié une déclaration pour InfoQ où il fait allusion à la résurgence de l'ingénierie sociale et des attaques de phishing ces derniers temps.
Selon le rapport d'enquête sur les violations de données de Verizon 2022, 82 % des violations de l'année dernière impliquaient l'humain. C'est un chiffre astronomique et cela prouve que les humains sont toujours le maillon le plus faible de la cybersécurité.
Selon Badhwar, appliquer le modèle de sécurité Zéro Trust est devenu indispensable pour sécuriser l'accès des employés aux données et au code sensibles.
L'enquête d'Uber sur cette récente violation n'est pas terminée, elle apportera probablement de nouveaux éléments. InfoQ continuera alors de vous informer au fur et à mesure que de nouveaux détails apparaîtront.