Uber : une faille de sécurité menace les données de 57 millions d’utilisateurs

Le système de messagerie électronique d'Uber abrite une faille de sécurité critique. D'après le chercheur en sécurité informatique Seif Elsallamy, cette vulnérabilité peut être exploitée pour envoyer des courriels à 57 millions d'utilisateurs et de chauffeurs Uber dont les données ont été déjà été divulguées lors d'un piratage d'envergure survenu en 2016.

Le système de messagerie électronique d'Uber abrite une faille de sécurité critique. Selon le chercheur en sécurité informatique Seif Elsallamy, un attaquant pourrait l'exploiter pour envoyer des courriels au nom de l'entreprise à plus de 57 millions d'utilisateurs et chauffeurs. Comme le précise l'expert, les données de ces millions de personnes, notamment les adresses mail et coordonnées téléphoniques, ont été compromises lors d'un piratage des serveurs GitHub d'Uber survenu en 2016.

À l'époque, nous avions appris que l'intégralité des clients français Uber était concerné, soit 1,4 millions d'utilisateurs. La CNIL avait d'ailleurs condamné l'entreprise à verser 400 000 € pour ne pas avoir su protéger les données de ses clients. Mais revenons-en à cette faille de sécurité.

D'après le chercheur, ces courriels seront envoyés directement depuis les serveurs d'Uber, et pourront sembler légitimes aux yeux d'un fournisseur de service de messagerie comme Gmail par exemple. En même temps, c'est bien là le problème : ces mails sont “techniquement parlant” légitimes et passent donc naturellement entre les mailles du filet anti-spam. L'auteur du mail, en revanche, peut être malveillant.

Uber se fout totalement de cette faille de sécurité gravissime

Pour illustrer la situation, Seif Elsallamy a exploité la faille en question pour envoyer un mail au nom d'Uber à un journaliste du site spécialisé BleedingComputer. Comme le précise notre confrère, le mail a atterri directement dans sa boite de réception, et non dans les indésirables. Dans le mail du chercheur, le client est invité à renseigner ses coordonnées bancaires, Uber prétextant une suspension de compte. Voilà l'exemple d'une exploitation parfaite de cette faille, qui permet à un pirate de se servir de la légitimité d'Uber pour abuser de la confiance de ses clients et lancer de vastes campagnes de phishing.

La veille du nouvel an 2021, le chercheur a signalé sa trouvaille à Uber via le programme de chasse aux bugs de l'entreprise. Seulement, son rapport a été rejeté, l'entreprise assurant que l'exploitation de cette faille nécessite une forme d'ingénierie sociale. Seulement, Seif Elsallamy est formel : un point d'accès exposé sur les serveurs d'Uber permet bel et bien à n'importe qui de créer un e-mail au nom de la société. Plus précisément, il s'agit “d'une injection HTML dans l'un des terminaux de messagerie d'Uber”, assure-t-il.

Alors, qui a tort ? Qui a raison ? Notez que ce n'est pas la première fois que cette faille est signalée à Uber. Par le passé, les chercheurs Soufiane el Habti et Shiva Maharaj ont averti Uber du problème, sans toutefois provoquer de réactions de leur part. De fait, il conviendra de faire preuve de prudence quand vous recevez un mail d'Uber, même si celui-ci est légitime.

Source : BleedingComputer