SAN FRANCISCO / WASHINGTON – Un homme de Floride âgé de 20 ans était responsable de la grande violation de données chez Uber Technologies Inc l’année dernière et a été payé par Uber pour détruire les données Grâce à un programme appelé “bug bounty” normalement utilisé pour identifier les vulnérabilités de code petit, trois personnes familières avec les événements ont déclaré à Reuters.

Uber a annoncé le 21 novembre que les données personnelles de 57 millions de passagers et de 600 000 conducteurs avaient été volées lors d’une infraction survenue en octobre 2016, et qu’il avait versé 100 000 dollars au pirate informatique pour détruire l’information. Mais la société n’a révélé aucune information sur le pirate informatique ni sur la façon dont il lui a payé l’argent.
Uber a effectué le paiement l’année dernière grâce à un programme conçu pour récompenser les chercheurs en sécurité qui signalent des failles dans les logiciels d’une entreprise, ont déclaré ces personnes. Le service de récompense de bogue d’Uber – comme un tel programme est connu dans l’industrie – est hébergé par une société appelée HackerOne, qui offre sa plate-forme à un certain nombre de sociétés technologiques.
Reuters a été incapable d’établir l’identité du pirate ou d’une autre personne qui, selon les sources, l’a aidé. Le porte-parole d’Uber, Matt Kallman, a refusé de commenter l’affaire.
Le nouveau directeur général d’Uber, Dara Khosrowshahi, a limogé deux des hauts responsables de la sécurité d’Uber lorsqu’il a annoncé la violation le mois dernier, affirmant que l’incident aurait dû être révélé aux régulateurs au moment de sa découverte, environ un an auparavant.
Reste à savoir qui a pris la décision finale d’autoriser le paiement au pirate et de garder la violation secrète, bien que les sources aient déclaré que le PDG de l’époque, Travis Kalanick, était au courant de la violation et du paiement des bogues en novembre dernier.
Kalanick, qui a démissionné en tant que PDG d’Uber en juin, a refusé de commenter l’affaire, selon son porte-parole.
Un paiement de 100 000 $ par un programme de primes de bogue serait extrêmement inhabituel, un ancien dirigeant de HackerOne disant qu’il représenterait un «record absolu». Les professionnels de la sécurité ont déclaré que récompenser un hacker qui avait volé des données serait aussi en dehors des règles normales. un programme de primes, où les paiements se situent généralement entre 5 000 $ et 10 000 $.
HackerOne héberge le programme de bug de Uber, mais ne le gère pas, et ne joue aucun rôle pour décider si les paiements sont appropriés ou de quelle taille ils doivent être.
Le PDG de HackerOne, Marten Mickos, a déclaré qu’il ne pouvait pas discuter des programmes d’un client individuel. “Dans tous les cas où une récompense de prime de bug est traitée par HackerOne, nous recevons des informations d’identification du destinataire sous la forme d’un formulaire IRS W-9 ou W-8BEN avant que le paiement puisse être effectué”, at-il dit. Formulaires de l’Internal Revenue Service des États-Unis.
Selon deux des sources, Uber a fait le paiement pour confirmer l’identité du hacker et lui faire signer un accord de non-divulgation pour dissuader d’autres actes répréhensibles. Uber a également effectué une analyse médico-légale de la machine du pirate informatique pour s’assurer que les données avaient été purgées, selon les sources.
Une source a décrit le hacker comme «vivant avec sa mère dans une petite maison essayant d’aider à payer les factures», ajoutant que les membres de l’équipe de sécurité d’Uber ne voulaient pas poursuivre une personne qui ne semblait pas constituer une menace supplémentaire.
Le hacker de Floride a payé une deuxième personne pour les services qui impliquaient l’accès à GitHub, un site largement utilisé par les programmeurs pour stocker leur code, pour obtenir des informations d’accès aux données Uber stockées ailleurs, a indiqué l’une des sources.
GitHub a déclaré que l’attaque n’impliquait pas une défaillance de ses systèmes de sécurité. “Notre recommandation est de ne jamais stocker de jetons d’accès, de mots de passe, ou d’autres clés d’authentification ou de chiffrement dans le code”, a déclaré cette société dans un communiqué.

‘LE CRIER SUR LES TOITS’
Uber a reçu un courriel l’an dernier d’une personne anonyme demandant de l’argent en échange de données d’utilisateur, et le message a été transmis à l’équipe de bogues de la compagnie dans ce qui était décrit comme la pratique habituelle d’Uber pour de telles sollicitations.
Les programmes de primes de bogues sont conçus principalement pour inciter les chercheurs en sécurité à signaler les faiblesses qu’ils découvrent dans les logiciels d’une entreprise. Mais des scénarios compliqués peuvent émerger lorsqu’il s’agit de pirates informatiques qui obtiennent des informations illégalement ou cherchent à obtenir une rançon.
Certaines entreprises choisissent de ne pas signaler les intrusions plus agressives aux autorités, au motif qu’il peut être plus facile et plus efficace de négocier directement avec les pirates informatiques afin de limiter tout préjudice aux clients.
Selon Katie Moussouris, ancien cadre de HackerOne, le versement de 100 000 $ d’Uber et le silence à ce moment-là étaient extraordinaires dans le cadre d’un tel programme.
“Si cela avait été une bête de bogue légitime, il aurait été idéal pour tous les participants de la crier sur les toits”, a déclaré Moussouris.
Le fait qu’Uber n’ait pas signalé la violation aux régulateurs, même si elle a pu penser qu’elle avait réglé le problème, était une erreur, selon des personnes de l’intérieur et de l’extérieur de l’entreprise qui ont parlé à Reuters.
“La création d’un programme de primes de bogues ne permet pas à Uber, à son fournisseur de services de primes, ni à aucune autre entreprise de décider que les lois sur les notifications de violation ne s’appliquent pas à eux”, a déclaré Moussouris.
Uber a renvoyé son chef de la sécurité, Joe Sullivan, et un adjoint, l’avocat Craig Clark, sur leurs rôles dans l’incident.
“Rien de tout cela n’aurait dû se produire, et je ne ferai pas d’excuses pour cela”, a déclaré Khosrowshahi dans un article de blog annonçant le piratage le mois dernier.
Clark a travaillé directement pour Sullivan, mais a également signalé à l’équipe juridique et de la vie privée d’Uber, selon trois personnes familières avec l’arrangement. Il n’est pas clair si Clark a informé le service juridique d’Uber, qui traitait généralement des problèmes de divulgation.
Sullivan et Clark n’ont pas répondu aux demandes de commentaires.
Dans une interview avec Reuters, Sullivan, un ancien procureur et chef de la sécurité de Facebook Inc (FB.O), a déclaré qu’il intégrait les ingénieurs et développeurs de sécurité chez Uber “avec nos avocats et notre équipe de politiques publiques qui savent ce que les régulateurs veulent.”
La semaine dernière, trois autres cadres supérieurs de l’unité de sécurité d’Uber ont démissionné. L’un d’entre eux, le chef de la sécurité physique, Jeff Jones, a ensuite dit aux autres qu’il serait parti de toute façon, ont déclaré des sources à Reuters. Un autre des trois, l’ingénieur de sécurité senior Prithvi Rai, a accepté plus tard de rester dans un nouveau rôle.
Reportage par Joseph Menn à San Francisco et Dustin Volz à Washington; Reportage supplémentaire par Heather Somerville et Stephen Nellis à San Francisco; Montage par Jonathan Weber et Bill Rigby

Leave a Comment

Your email address will not be published. Required fields are marked *