.[Ec4] Eco numérique, cyberespace

Des hackers réclament une rançon pour libérer le métro de San Francisco
par Melinda Davan-Soulas
LCI - 29 nov 2016
http://www.lci.fr/high-tech/le-metro-de-san-francisco-attaque-par-des-pirates-informatiques-hacker-2014781.html

"Vous avez été piratés, toutes les données sont désormais cryptées". Non, vous n'êtes pas en train de jouer à Watch_Dogs 2, le jeu vidéo d'Ubisoft où un hacker s'amuse à pirater tout ce qu'il peut dans San Francisco. Le week-end dernier, ce message est apparu sur les ordinateurs des employés du service des transports municipaux de la ville, a dévoilé le San Francisco Examiner via son site internet.

Le jeu de l'éditeur français est ainsi devenu réalité vendredi après-midi lorsque tout le système informatique de gestion du métro est tombé subitement en panne et qu'un message s'est affiché avec un mail pour contacter les auteurs de l'attaque. Dans les faits, cela n'a pas eu d'incidence sur la circulation du réseau MUNI ni du BART (équivalent du RER parisien et des TER) lors du long week-end de Thanksgiving.

Ce sont en fait les machines de vente de tickets qui ont été mises hors d'état de fonctionner. Une aubaine pour les voyageurs qui ont ainsi pu circuler gratuitement. Mais des sueurs froides pour l'opérateur qui a refusé de reconnaître le piratage dans un premier temps avant, au terme de deux jours d'enquête, de laisse rentendre qu'une faille de sécurité dans le système avait bien eu lieu. "Nous sommes focalisés sur le problème et la façon de le résoudre", a expliqué un porte-parole de Muni dimanche. "Mais à ce jour, il n'y a aucun impact sur les transports, nos systèmes de sécurité ou les informations privées de nos voyageurs." -les cartes de transport prépayées sont en effet gérées par un autre organisme, épargné par l'attaque.

Selon plusieurs experts en cybersécurité cités par le site SFGate, l'attaque, inédite pour un réseau de transports pourrait être un possible "ransomware", un virus qui permet à des pirates de bloquer un ordinateur à distance et de forcer les utilisateurs à payer une rançon pour récupérer leurs données ou tout simplement pour relancer le fonctionnement du système. Pour eux, tous les signes d'une telle attaque "Ransomware" sont présents.

Le site The Verge a pu entrer en contact avec l'un des pirates via le mail. Il a confirmé que le groupe cherchait un accord financier avec MUNI afin de réparer les dommages. "Nous ne cherchons pas à faire des interviews ou à propager la nouvelle", écrit le hacker dans un message au site. "Notre logiciel fonctionne de manière totalement autonome et nous ne ciblons personne en particulier. Le réseau SFMTA (MUNI) était très facile à infecter. Nous attendons désormais qu'une personne de la SFMTA nous contacte, mais ils ne veulent visiblement pas négocier. Nous fermons cette adresse email demain !"

Selon The Examiner, les hackers réclameraient 73.000 $. "Nous faisons cela pour l'argent et rien d'autre", a ainsi expliqué un pirate se faisant appeler "Andy Saolis". "Ils ont peut-être besoin de la manière forte pour comprendre. J'espère qu'ils vont ainsi renforcer leur sécurité informatique", écrit-il dans un anglais très approximatif, laissant supposer une origine étrangère de l'attaque.

Dimanche soir, quelques stations avaient pu reprendre un fonctionnement normal. Le réseau MUNI n'est pas le premier à être victime d'une telle demande de rançon. Des entreprises plus ou moins importantes ont déjà été ciblées, comme des universités, des églises. En début d'année, le centre médical presbytérien d'Hollywood s'était vu par exemple réclamer plus de 3,5 millions de dollars pour récupérer l'accès à ses dossiers patients. Il suffit qu'un fichier malveillant soit ouvert et installé sur un ordinateur du réseau pour que le "ransomware" se mette en place et que tout le réseau soit bloqué.

Régie des transports de San Francisco piratée: les hackers font de nouvelles menaces
par Olivier Chicheportiche
ZDNet - 29 nov 2016
http://www.zdnet.fr/actualites/regie-des-transports-de-san-francisco-piratee-les-hackers-font-de-nouvelles-menaces-39845334.htm

La régie des transports en commun de San Francisco n'en a pas terminé avec le piratage massif qui a paralysé une partie de son système d'information. (...) La régie a décidé de ne pas payer la rançon et a offert les transports pendant la journée de samedi. Le temps de permettre à la direction informatique d'activer les serveurs de secours, d'ailleurs, le service revenait à la normale dès ce dimanche matin.

Le non paiement de la rançon a visiblement agacé les pirates puisque selon Fortune, ils menacent aujourd'hui de lancer une nouvelle offensive en mettant en ligne pas moins de 30 Go de données personnelles issues des utilisateurs de la régie mais aussi de ses salariés. Pour autant, selon le magazine, rien ne prouve que les hackers soient bien en possession de ce fichier (ils ont refusé d'en diffuser un extrait). 

Fortune a également obtenu quelques informations du ou des pirates à la manoeuvre. La régie n'était pas spécialement visée: "L’agence utilise un très vieux système. Nous avons pu hacker plus de 2.000 serveurs et PC de l’agence dont les kiosques de paiement", révèle le prétendu hacker à l'origine de l'attaque. Reste à savoir si la régie va finalement passer à la caisse ou considérer qu'il s'agit d'un bluff.

Cette affaire montre à quel point ce type d'infrastructure est vulnérable au ransomware où le facteur humain est déterminant (le fait de cliquer sur un lien piégé par exemple). Les ransomwares sont d'ailleurs en forte croissance cette année : on en a dénombré quatre fois plus que l'an passé selon Barkly.

"Nous sommes face à une attaque désormais classique dont le mode opératoire est bien connu. Le ransomware a probablement été envoyé vers un ou des employés de la régie via un email de phishing. Dès lors que cet email est parvenu à franchir les outils de détection et de filtrage de la régie, le succès de l’attaque reposait uniquement sur la vigilance des employés. Dans ce cas, un employé de la société s’est certainement laissé piéger par un email lui demandant d’ouvrir une pièce jointe… pour libérer le ransomware. La suite est connue, le malware chiffre les machines pour les rendre inutilisables et demande à la société victime le paiement d’une rançon pour libérer les ordinateurs, serveurs, etc. de leur chiffrement", commente Régis Bénard, Consultant technique de Vade Secure.

Deutsche Telekom: Le piratage visait des sites gouvernementaux
ATS, 20 minutes - 29 nov 2016
http://www.20min.ch/ro/news/monde/story/Le-piratage-visait-des-sites-gouvernementaux-20902500

Les pannes de réseau dont ont été victimes des milliers de clients de Deutsche Telekom étaient en fait une tentative de piratage informatique plus vaste. Elles visaient des services gouvernementaux allemands, ont dit mardi un dirigeant de l'opérateur télécoms et l'agence allemande chargée de la sécurité (BSI). Selon Deutsche Telekom, près de 900.000 personnes, soit environ 4,5 % des 20 millions de clients de ses services de téléphonie fixe, ont éprouvé des difficultés à se connecter à son réseau dimanche après-midi.

Les interruptions de service semblent liées à une tentative ratée de prise de contrôle des routeurs des clients pour perturber le trafic Internet, ont précisé Thomas Thchersich, le responsable de la sécurité informatique de Deutsche Telekom, et l'agence fédérale allemande chargée de la sécurité des technologies de l'information. Selon le BSI, l'attaque visait également le réseau du gouvernement allemand, mais a échoué grâce aux mesures préventives qui se sont avérées efficaces. « Le BSI considère cette interruption comme faisant partie d'une attaque mondiale contre une sélection d'interfaces de gestion à distance de routeurs DSL », a déclaré l'agence gouvernementale sur son site, ajoutant qu'elle travaillait avec Deutsche Telekom pour analyser l'incident.

D'après Thomas Thchersich, cité dans le quotidien berlinois Der Tagesspiegel, les pirates voulaient transformer les routeurs en botnet (contraction en anglais de "robot" et de "réseau") pour permettre à des programmes de communiquer avec d'autres et d'exécuter certaines tâches. Les routeurs sont utilisés pour accéder à des services de téléphonie, de navigation sur Internet et de réception de la télévision. Le botnet Mirai, un logiciel malveillant conçu pour transformer les périphériques réseaux en "bots" afin de planifier des attaques réseau à grande échelle, est impliqué dans la panne subie par Deutsche Telekom. Le mois dernier, des pirates informatiques ont utilisé Mirai pour déclencher une attaque via des dispositifs comme des webcams et des enregistreurs numériques afin de couper l'accès à certains des sites les plus fréquentés au monde.

Les routeurs de Deutsche Telekom proviennent de plus d'une dizaine de fournisseurs essentiellement asiatiques sous la marque Speedport. Le groupe allemand a proposé lundi à ses clients des mises à jour au niveau du "firmware" sur trois de ses modèles, qui sont tous fabriqués par le taïwanais Arcadyan. L'opérateur historique allemand a dit à Tagesspiegel vouloir revoir ses relations avec Arcadyan à suite de cette attaque. Aucun commentaire n'a pu être obtenu auprès d'Arcadyan. Deutsche Telekom a dit ignorer pour le moment l'identité des auteurs de l'attaque, ajoutant qu'une vérification était en cours sur les routeurs touchés par la panne pour voir s'ils ne sont pas infectés par des logiciels malveillants. Le site de surveillance du réseau Allestoerungen.de ("En panne") a fait état de dizaines de milliers de plaintes à travers tout le pays, notamment à Berlin, Hambourg et Düsseldorf, Stuttgart et Munich. Les plaintes des clients enregistrées sur le site ont montré une poussée à 15h dimanche avec un pic à 17h et une reprise lundi.

Liechtenstein: Clients d'une banque menacés par des pirates
AFP, 20minutes - 29 nov 2016
http://www.20min.ch/ro/news/monde/story/Clients-d-une-banque-menaces-par-des-pirates-21182177

Des clients d'une banque de la principauté du Liechtenstein ont été menacés par des inconnus de voir leurs données transmises au fisc de leur pays d'origine s'ils ne leur versaient pas 10 % de leurs avoirs, rapporte mardi le journal suisse Blick. Les clients de la banque Valartis ont reçu des courriels leur demandant de payer cette rançon en bitcoins, ce qui garantit l'anonymat, précise le Blick, qui se base sur des informations parues dimanche dans le journal allemand Bild am Sonntag.

Selon le courriel que le quotidien allemand a pu consulter, les maîtres-chanteurs indiquent encore que les noms des clients qui ne paient pas et qu'ils soupçonnent d'évasion fiscale, seront transmis la semaine prochaine aux autorités de leur pays. Les données d'hommes politiques, d'acteurs et de personnes fortunées auraient été piratées. « Nous ne payons rien, nous ne faisons pas d'affaire avec des maîtres-chanteurs », a indiqué à l'AFP un porte-parole de la banque. Elle gère environ 3,5 milliards de francs suisses (3,2 milliards d'euros) de clients originaires de 20 pays, parmi lesquels figurent de nombreux Allemands.

Il y a une dizaine de jours, la banque a indiqué dans un communiqué avoir été « confrontée à une attaque de hackers », qui auraient récupéré des données datant d'avant mai 2013, concernant surtout la clientèle d'entreprises. « Le coeur du système de la banque n'a pas été concerné par cette attaque », a-t-elle affirmé, ajoutant qu'elle avait informé les clients qui auraient pu en être victimes. Les pirates avaient auparavant contacté la banque par courriel en affirmant avoir décelé des failles dans son système informatique et en proposant de les résoudre en échange d'une rançon. La banque a refusé et a informé la police. La banque Valartis a été achetée au printemps dernier par le magnat de l'immobilier chinois, Kwok Lung Hon.

Quand des hackers prennent le contrôle de la production d'eau potable
par Raphaël Grably
BFMTV - 23 mar 2016
http://hightech.bfmtv.com/logiciel/quand-des-hackers-prennent-par-hasard-le-controle-de-la-production-d-eau-potable-961350.html

Aux États-Unis, une station d'épuration a été victime d'une cyberattaque touchant à sa production d'eau potable. L'attaque terroriste sur une usine de production d'eau potable est l'un des scénarios cauchemar des autorités. Un rapport publié par Verizon - géant américain des télécommunications - fait état d'une attaque informatique concernant une station d'épuration. Fait inquiétant, les pirates sont parvenus à modifier la quantité de composants chimiques présents dans l'eau. Dans le document, on apprend que l'entreprise, qui prend le nom générique de Kemuri Water Company (KWC), a alerté Verizon après avoir constaté d'étranges changements dans sa production d'eau potable durant deux mois. Une fois sur place, les équipes de sécurité ont alors constaté une grande quantité de failles qui ont permis à des hackers de prendre la main sur des processus ultra-sensibles... sans l'avoir fait exprès.

Initialement, ceux qui sont décrits comme des hacktivistes, désirant davantage nuire au fonctionnement de l'entreprise qu'à perpétrer une attaque terroriste à grande échelle, visaient les données de paiement des clients. Pour y accéder, ils sont partis d'une page Web ouverte à tous et permettant au grand public d'avoir accès à ses factures ou à son niveau de consommation en eau. A la faveur d'une de sécurité insuffisante, ils ont ensuite pu récupérer 2,5 millions de fichiers sensibles. Sauf qu'ils ont également constaté avoir pris la main sur la production d'eau potable en elle-même. Plutôt banal, le piratage se transforme alors en attaque beaucoup plus rare, de la même nature que celle perpétrée par les Etats-Unis et Israël contre une centrale nucléaire iranienne. Ils ont alors décidé de sous-doser les produits chimiques, ralentissant ainsi la vitesse de production.

L'équipe de sécurité dépêchée par Verizon a cherché à savoir comment des pirates avaient pu avoir accès au fonctionnement même de l'usine, en partant d'une interface librement accessible. Dans les usines - notamment les plus sensibles, ces deux systèmes doivent être dissociés pour garantir un minimum de sécurité. Mais dans le cas de KWC, c'était tout le contraire.

Dans la station d'épuration, un seul serveur gère l'ensemble des données, à savoir une machine de type IBM AS/400. Une série lancée en 1988, utilisant un système d'exploitation vieux de plus de 10 ans, le tout directement connecté à Internet. Cerise sur le gâteau, un seul employé était en charge du serveur. Lorsqu'il n'était pas en poste, il n'y avait alors aucun moyen d'alerter qui que ce soit en cas d'attaque. Selon Verizon, les failles ont par la suite été corrigées et l'équipement modernisé. Mais comme le précise le rapport, l'issue de la situation aurait pu être bien plus catastrophique. Si les systèmes de sécurité secondaires (analysant entre autres la composition de l'eau) ont pu sonner l'alerte, il est difficile de savoir jusqu'où auraient pu aller des pirates encore plus mal intentionnés.

Comme les centrales nucléaires, les stations d'épuration et de production d'eau potable sont surveillées de près afin d'éviter que des terroristes ne les utilisent pour perpétrer des attaques contre les populations. L'exemple de Kemuri Water Company montre que des systèmes vieillissants et une gestion peu rigoureuse peuvent en faire des cibles idéales.

Le site web d’une grande entreprise française sur 2 frappé d’une grave faille de sécurité
par Christophe Lagane
Silicon - 05 oct 2016
https://www.silicon.fr/moitie-sites-web-grandes-entreprises-francaises-faille-securite-159366.html

100 % des sites web des grandes entreprises françaises sont vulnérables. C’est ce qui ressort des 128 audits de sécurité réalisés par les équipes Cybersécurité et Digital Trust du cabinet Wavestone (ex-Solucom), auprès de 82 structures issues des 200 premières entreprises française dans 8 secteurs d’activités (banque/assurance, santé, énergie, services, télécom, transport, institutions publiques) entre juin 2015 et juin 2016. Un résultat présenté dans le cadre des Assises de la sécurité qui se déroulent à Monaco (du 5 au 8 octobre).

Si tous les sites testés sont faillibles, toutes les vulnérabilités ne sont pas alarmantes. Mais la majorité le sont ! 60% des 85 sites externes et des 43 sites internes analysés sont marqués de « failles graves ». Autrement dit, des brèches systèmes qui peuvent mener à des fuites d’informations où à la prise de contrôle des serveurs web. Dans les détails « seuls » 50 % des sites web publics sont atteints de tels risques et 75 % des intranets, uniquement accessibles depuis un réseau privé. Le langage utilisé pour coder le site entre également en résonance avec son niveau de faillibilité. 75  % des pages développées en PHP sont sujettes à au moins une faille grave. Un taux qui tombe à 40 % pour les sites élaborés en Java.

Parmi les 10 principales failles découvertes, les informations techniques superflues, diffusées par une page d’erreur ou d’entête par exemple, apparaissent dans 88% des sites audités. Heureusement, le risque d’intrusion que permet l’exploitation de ces informations reste « mineur ». Un peu plus inquiétant : un défaut de qualité dans le chiffrement, dans 81 % des cas, élève le risque à un niveau jugé « important » par le cabinet. C’est également le cas pour les 57 % de sites où une page permet de faire exécuter du code distant à un utilisateur à son insu. Le défaut de cloisonnement, qui permet d’accéder à des données ou des fonctions non autorisées, touche 44 % des sites audités. Un défaut considéré comme un risque « majeur » par Wavestone. Tous comme les 37 % de sites permettant à un attaquant de réaliser des actions imprévues (dépôt de code…) et les 25 % de cas, où une faille autorise la collecte de l’ensemble des données du site (injection SQL notamment).

« Nous avions déjà l’intuition que la situation n’était pas bonne, et ce, quel que soit le secteur d’activité. Notre sentiment est désormais conforté par ces chiffres », commente Yann Filliat, responsable de l’équipe d’audit de sécurité de Wavestone. Pour Gérôme Billois, membre du comité de direction de l’activité cybersécurité du cabinet, « la gestion actuelle des projets web ne laisse pas beaucoup de place à la sécurité : mise en ligne urgente, site dont on apprend l’existence à sa sortie… Tout ceci fait prendre des risques importants aux entreprises ».

Intermédiaires et exploitants, les gros trafiquants défendent aussi leur business face à la concurrence des petits trafiquants, apprentis intermédiaires et exploitants. Leur obsession commune: l'argent.

Zone Téléchargement, PME pirate: les dessous d’une enquête internationale
par Corentin Durand
Numérama - 29 nov 2016
http://www.numerama.com/politique/212734-zone-telechargement-pme-pirate-les-dessous-dune-enquete-internationale.html

L'opération visant à fermer Zone Téléchargement, le vaste site pirate très consulté en France, montre l'existence d'une véritable PME de la piraterie, organisée, lucrative et qui, jusque-là, faisait fi des autorités.

Il aura fallu à la Gendarmerie et à la C3N (Centre de lutte contre les criminalités numériques) plus de deux ans pour mettre en lumière la tentaculaire Zone Téléchargement. Alors que la SACEM déposait sa plainte à l’encontre du site en 2014 avec les preuves de ce qu’elle avançait, les autorités devront patienter durant de longs mois avant de réunir suffisamment d’éléments pour déconnecter le site et en saisir toutes ses ramifications.

Si la SACEM (Société des auteurs) a insisté pour que Zone Téléchargement soit démantelé, c’est parce que le site avait réalisé une ingénieuse machinerie pour échapper aux filets qui permettent aux ayants droit de limiter la casse du téléchargement illégal. Or c’était là la pierre fondatrice d’une entreprise en devenir: Zone Téléchargement n’était pas un site facile à contrer et son succès a confirmé les inquiétudes des ayants droit. Les Français qui avaient entrepris la construction de ce vaste réseau pirate avaient presque tout prévu pour leur petite entreprise qui naviguait en eaux troubles.

En premier lieu, les œuvres mises à dispositions pour Zone Téléchargement ne pouvaient pas être supprimées des moteurs de recherche. En effet, les sociétés d’ayants droit passent souvent par la case de la suppression de Google pour miner le business des pirates, mais face à cette plateforme, leurs tentatives étaient vaines. Car si les internautes connaissent bien la façade de Zone Téléchargement, son interface à peine ringarde et son catalogue bien fourni, ils sont moins nombreux à savoir que le site est couplé à une autre plateforme: DL Protect.

L’un ne va pas sans l’autre et inversement, ces deux sites sont les deux pierres qui soutenaient la petite et riche PME Zone Téléchargement. Le premier, le site façade, hébergeait les descriptions des œuvres, les photos, la communauté, en somme le cœur du business. Mais sur Zone Téléchargement il était impossible de trouver un seul lien dirigeant vers un hébergeur, d’où l’impossibilité pour les moteurs de recherche de supprimer de leurs résultats les pages du site.

En réalité, chaque lien sur la plateforme menait à une page du site DL Protect, et c’est sur cette dernière que les internautes trouvaient le fameux lien vers l’hébergeur. Or si Google cachait DL Protect de ses résultats, il ne pouvait pas en faire autant de Zone Téléchargement. Donc l’internaute gardait l’accès aux contenus illégaux, quoiqu’en pensent les moteurs de recherche.

Une idée simple mais géniale qui a permis au site de prospérer sans jamais se voir déréférencé par Google, Bing, Yahoo etc. Et l’entreprise était intelligente : avec deux composants, elle démultipliait ainsi ses profits. Car les deux services étaient évidemment tenus par la même poignée de responsables. Ce duo ingénieux avait donc de beaux jours devant lui. Le classement Alexa considère que Zone Téléchargement était ainsi le dixième site le plus visité en France, et à quelques marches derrière, on retrouve sur le même classement DL Protect en 19e place. Deux plateformes qui doublaient les revenus publicitaires de leurs propriétaires.

Et la prospérité de l’affaire était assurée par un catalogue toujours à jour et très complet. L’enquête montre que le réseau était en possession de plus de 2,5 millions de liens vers du contenu illégal: la SACEM compte par exemple plus de 1.500 albums de musique ainsi mis à disposition. Mais en dehors des derniers disques des charts, le business avait bien des facettes: les derniers films à peine sortis en DVD, des séries TV en VOSTFR et VF souvent jamais sorties en France, mais aussi des logiciels, des jeux vidéo etc.

La petite PME du piratage avait donc tout pour réussir et l’argent coulait à flots, l’enquête montre, elle aussi, des chiffres extraordinaires pour le site: 254 millions de pages vues pour 7,1 millions de visiteurs uniques tous les mois. Or Zone Téléchargement ne s’inquiétait pas de s’associer à des régies publicitaires peu scrupuleuses ou pornographiques, le public venait et cliquait suffisamment pour que cette petite mafia du web affiche des revenus qui dépassent rapidement les espoirs de n’importe quel pirate du net français. Une source proche de l’enquête nous indique ainsi que le chiffre d’affaires annuel de Zone Téléchargement s’élevait à plus de 1,5 million d’euros.

Une mine d’or pour une entreprise qui n’avait finalement que peu de frais. Mais la stratégie de ses créateurs pour faire fructifier leur poule aux œufs d’or pirate ne s’arrêtait pas à un simple duo de site. Les ingénieux responsables avaient également mis en place une mécanique de blanchiment de l’argent gagné qui leur permettait d’échapper à l’impôt et aux autorités qui auraient pu s’inquiéter d’un tel profit. Chaque centime réalisé sur la plateforme allait des poches des régies publicitaires directement vers des comptes off-shore. L’enquête en a trouvé à Malte, Chypre et au Belize. Un attirail financier digne des grands fraudeurs du fisc français qui permettait jusque-là aux créateurs d’être à l’abri du besoin tout en déjouant le regard de l’État et l’impôt.

À la tête de cette petite entreprise du crime, on trouve deux responsables: l’un a été interpellé hier en Andorre où ils ont tout deux élu domicile et l’autre en France. Entre les serveurs domiciliés en Islande et en Allemagne, et les multiples domiciles des pirates, la gendarmerie française a fait appel à des commissions rogatoires internationales pour mettre fin au réseau tentaculaire de ces Kim Dotcom à la française.

C’est ce mandat international qui a permis de déconnecter des serveurs en Allemagne et en Islande ainsi mais qui a aussi permis d’interpeller les responsables répartis entre la France et la principauté d’Andorre. Enfin, il a permis d’organiser une saisie d’un faramineux butin amassé durant des années de piraterie numérique. Nos sources confirment que les enquêteurs ont mis la main sur des voitures de luxe, des résidences secondaires, des comptes bancaires au quatre coins du monde — un capital bien gardé par ces professionnels du crime en ligne.

Cette vaste enquête qui a débuté dans les bureaux provinciaux de la gendarmerie toulousaine, qui héberge la C3N, police du web, aura finalement réuni des dizaines d’unités des forces de l’ordre pour parvenir à démanteler un site web et ses ramifications, laissant apercevoir un vaste montage financier et numérique. Une petite entreprise qui n’avait seulement pas prévu que la patience des gendarmes paye un jour.

EDIT (22 novembre 2017)

Victime d’un piratage, Uber a préféré payer pour régler le problème
par Jérôme Colombain
Radio France, 22 nov 2017
https://www.francetvinfo.fr/replay-radio/nouveau-monde/nouveau-monde-victime-dun-piratage-uber-a-prefere-payer-pour-regler-le-probleme_2456840.html

Les nuages continuent de s’amonceler au-dessus de la tête d’Uber. Après les affaires de harcèlement sexuel, de vol de brevets, les démêlés judiciaires et les difficultés financières, c’est maintenant un bon gros cyber piratage qui tombe sur l’entreprise californienne. Fin 2016, deux escrocs – n’appartenant pas à l’entreprise, précise Uber – se sont attaqués à un service de cloud prestataire d’Uber et ont dérobé un fichier contenant les données des clients et des chauffeurs. Les noms et numéros de licences des 600.000 chauffeurs aux États-Unis, d’une part, ont été copiés. Les noms, adresses e-mail et numéros de téléphones de 57 millions de clients et chauffeurs dans le monde entier, d’autre part, ont également été récupérés.

Sachant que les utilisateurs doivent enregistrer leur Carte bleue dans l’application Uber, on se demande évidemment si des données bancaires ont été dérobées. Dans un communiqué, le président d’Uber, Dara Khosrowshahi, assure que ce n’est pas le cas. Ni les informations bancaires ni les historiques de déplacement des clients n’auraient été corrompus.

L’histoire ne s’arrête pas là. Le plus surprenant est qu’Uber aurait payé 100.000 $ pour que l’affaire soit étouffée et que ces données ne soient pas révélées. La cyberattaque aurait été cachée aux autorités. Le nouveau président d’Uber, nommé en août dernier, assure qu’il vient seulement de découvrir l’affaire. Il annonce une enquête interne et des sanctions. Deux responsables, dont le directeur de la sécurité informatique, Joe Sullivan, ont été licenciés. Uber va maintenant devoir annoncer aux personnes concernées, client et chauffeurs, si elles ont été victimes ou pas de ce piratage et ce qu’elles doivent faire.

Uber n’est pas la première ni la dernière entreprise à se faire pirater. Toutes les compagnies sont aujourd’hui vulnérables. Une vague de cyberattaques a récemment touché les Etats-Unis. On se rappelle aussi les affaires de rançongiciels qui ont frappé l’Europe l’année dernière. Les entreprises préfèrent souvent rester discrètes. En payant une rançon, Uber a fait ce qu’il ne faut jamais faire, du moins ce que les autorités déconseillent, mais que font pourtant certaines entreprises confrontées à ce type de problème.

EDIT (19 juin 2020)

L'Australie se dit victime d'une cyberattaque d'un "acteur étatique"
AFP, France24 - 19 jun 2020
https://www.france24.com/fr/20200619-l-australie-se-dit-victime-d-une-cyberattaque-d-un-acteur-étatique-1

SYDNEY - L'Australie a affirmé vendredi être la cible d'une vaste cyberattaque d'un "acteur étatique" qui vise les systèmes informatiques du gouvernement, d'administrations et d'entreprises, les médias nationaux pointant la piste de la Chine. Le Premier ministre, Scott Morrison, a organisé en urgence une conférence de presse à Canberra pour prévenir ses concitoyens des "risques spécifiques" auxquels ils se retrouvaient exposés. "Des organisations australiennes sont actuellement visées par une cyberattaque d'un acteur étatique sophistiqué", a-t-il dit. Selon lui, "cette activité cible des organisations australiennes dans toute une gamme de secteurs, à tous les niveaux du gouvernement, de l'économie, des organisations politiques, des services de santé et d'autres opérateurs d'infrastructures stratégiques".

D'après les médias australiens, la liste des suspects est très réduite, parmi les Etats ayant un savoir-faire dans ce domaine (en dehors des pays occidentaux, la Chine, la Corée du Nord, l'Iran, Israël ou la Russie). Ils regardaient du côté de la Chine, qui a infligé en mai des droits de douane punitifs contre certaines exportations australiennes. La télévision ABC a cité des "sources hauts placées" confirmant que la Chine serait derrière ces attaques. (...)

Selon l'agence australienne responsable du renseignement et de la sécurité électronique, cette attaque a été conçue de manière à ne pas pouvoir en déterminer l'origine. Dans cet objectif, les auteurs ont utilisé des logiciels de cyberattaque déjà existants sur le "dark web" et librement accessibles, selon la même source. Il s'agit notamment de "codes d'exploitation" qui ciblent les vulnérabilités d'anciennes versions de produits Microsoft, Telerik, SharePoint et Citrix, ainsi que des logiciels "web shell" qui, après avoir été téléchargés, demeurent sur les serveurs corrompus. Ces attaques ont également fait appel à des techniques d"hameçonnage", consistant à envoyer des mails contenant des fichiers et des liens et des liens web ou Office365. (...)

Déjà l'an dernier, le parlement et les partis politiques australiens s'étaient inquiétés d'une tentative d'ingérence d'une puissance étrangère dans le milieu politique. La Chine avait alors été pointée du doigt même si, à aucun moment, son nom n'avait été nommément cité par le Premier ministre. Pékin avait aussitôt rejeté ces accusations, les qualifiant notamment de tissu de "mensonges", d'"irresponsables" et de "diffamatoires". Quelques mois auparavant, l'ex-chef du contrespionnage australien, Duncan Lewis, démissionnaire, avait accusé Pékin de vouloir "prendre le contrôle" des milieux politiques via "l'espionnage et l'ingérence".

M. Morrison a dit vendredi avoir informé l'opposition de ces attaques informatiques "malveillantes", et exhorté les institutions et entreprises à "se protéger". Il n'a pas donné de détail technique, mais indiqué que les données personnelles des Australiens n'avaient pas été dérobées et que beaucoup d'attaques avaient échoué. "Nous encourageons les organisations, particulièrement celles de santé, d'infrastructures stratégiques et de services essentiels à recourir à des experts et à mettre en place des systèmes de défense techniques", a-t-il affirmé. L'Australie fait partie de la puissante alliance de renseignement dite des "Five Eyes" avec les Etats-Unis, le Royaume-Uni, le Canada et la Nouvelle-Zélande, ce qui est en fait une cible de choix pour ses adversaires.

16/08/2020 >> Piratage au Canada d'une dizaine de milliers de comptes d'utilisateurs de services gouvernementaux en ligne.