Un chercheur en sécurité a découvert une vulnérabilité dans le système de messagerie d’Uber qui permet à quiconque d’envoyer des emails au nom de l’entreprise.
Imaginez recevoir un mail d’Uber vous invitant à confirmer vos coordonnées bancaires, mais sans que la société se cache derrière ce courriel. Cette éventualité pourrait se concrétiser à cause d’une faille de sécurité dont l’entreprise a connaissance, mais qu’elle n’a pas encore corrigée. Le 31 décembre, le chercheur en sécurité Seif Elsallamy a en effet utilisé le programme de primes aux bugs d’Uber pour l’alerter de l’existence d’une vulnérabilité permettant à n’importe qui d’envoyer des mails en son nom. Considérés comme légitimes par un fournisseur de service de messagerie comme Gmail ou Outlook, ces courriers électroniques atterriraient directement dans la boîte de réception du destinataire.
Pour démontrer ce danger, le chercheur en sécurité a envoyé un courriel – semblant provenir des serveurs d’Uber – à un journaliste du site Bleeping Computer, l’exhortant à confirmer ses coordonnées bancaires. Le rapport de Seif Elsallamy sur la vulnérabilité a pourtant été rejeté par l’entreprise, qui considère que l’exploitation de celle-ci nécessite une forme d’ingénierie sociale, soit une pratique de manipulation psychologique à des fins d’escroquerie.
57 millions de personnes potentiellement concernées
L’envoi de mails frauduleux rendu possible par la faille correspond en effet à une forme d’arnaque connue sous le nom de phishing ou d’hameçonnage. Elle consiste à récupérer les données personnelles d’un individu par la tromperie, en se faisant passer pour une personne ou un organisme que la victime connaît, pour ensuite les utiliser de manière malveillante. Le chercheur en sécurité avertit ainsi que 57 millions de personnes pourraient recevoir un courriel frauduleux. « Apportez votre [calculatrice] et dites-moi quel serait le résultat si cette vulnérabilité est utilisée avec les 57 millions d’adresses électroniques qui ont fuité depuis la dernière violation de données ? », a-t-il écrit sur Twitter en s’adressant à la société.
Seif Elsallamy fait référence aux données (nom, adresse email, numéro de téléphone…) de 50 millions de clients et de 7 millions de chauffeurs Uber qui ont été piratées en 2016. Caché par l’entreprise, ce piratage a été révélé au grand public en 2017. Les Français étant concernés, la Commission nationale de l’informatique et des libertés (Cnil) avait notamment infligé une amende de 400 000 euros à la firme en 2018. Elle lui reprochait de ne pas avoir suffisamment sécurisé les données de ses utilisateurs, un manquement ayant permis le vol de leurs informations personnelles. Malgré la gravité de cette faille, il semblerait qu’Uber ne cherche pas à apporter un patch correctif. Des chercheurs en sécurité affirment d’ailleurs l’avoir déjà alerté à propos de ce problème par le passé, sans susciter une réaction de sa part.
