Sécurité IT : vols de données chez British Airways et Uber, assaut DDoS contre GitHub
Les attaques subies par Uber et British Airways l’illustrent : la réutilisation d’un même mot de passe sur plusieurs services en ligne facilite la tâche des pirates.
D’Uber à British Airways, les vols massifs de données se suivent… et se ressemblent.
Dans les deux cas, les pirates n’auraient pas directement exploité une faille de sécurité : ils auraient simplement accédé à des compteurs d’utilisateurs grâce à des identifiants et mots de passe récupérés sur d’autres services en ligne.
Chez British Airways, les premiers signaux ont été perçus le vendredi 27 mars. Des dizaines de clients « grands voyageurs » se sont plaints, via Twitter ou sur les forums communautaires FlyerTalk de la compagnie aérienne, d’avoir perdu tous leurs points fidélité. Certains ne pouvaient même plus ouvrir de session, que ce soit sur Web ou mobile.
La communication officielle est intervenue ce dimanche : British Airways a expliqué avoir suspendu les comptes de « quelques dizaines de milliers de membres » sur les 7 millions que compte son Executive Club. L’adhésion – gratuite – à ce programme permet de cumuler, sur des vols, des chambres d’hôtel et des locations de voitures, des unités de valeur appelées Avios. Lesquels peuvent être utilisés pour bénéficier de divers avantages tels que des surclassements.
Les clients concernés n’auront d’autre choix que de réinitialiser leur mot de passe. Soit en consultant l’e-mail d’information qui leur a été envoyé, soit en sélectionnant « J’ai oublié mon identifiant/mot de passe » sur le site Internet.
Un porte-parole de British Airways a précisé au Guardian que les soldes d’Avios resteront bloqués à zéro jusqu’à résolution du problème – « une question d’heures ». La première phase d’investigation laisse suggérer que d’autres partenaires d’Avios ont été touchés. La compagnie espagnole Iberia serait dans la boucle.
Les enquêteurs ne sont pas encore officiellement remontés à la source de l’attaque. Les experts en sécurité évoquent la piste d’un programme informatique conçu pour non seulement pour détecter des failles, mais aussi et surtout pour obtenir des informations de connexion sur des services tiers avec lesquels il est possible de lier un compte British Airways.
Passée en mode gestion de crise, la compagnie britannique reconnaît qu’il est difficile de coordonner ses efforts : ses conseillers ont tendance à fournir des informations contradictoires. D’où l’ouverture d’un wiki monté spécialement pour l’occasion.
Uber-hack
Toujours dans les transports, mais routiers cette fois, on apprend que les identifiants de connexion de plusieurs milliers d’utilisateurs d’Uber se monnayent actuellement sur le marché noir.
Sur cette face cachée du Web où l’on s’échange également des armes et de la drogue, une paire identifiant/mot de passe est vendue entre 1 et 5 dollars, à en constater les tarifs moyens pratiqués par les vendeurs qui se sont confiés à Motherboard.
Principal intérêt pour les potentiels acheteurs : accéder aux nombreuses données associées à chaque compte, comme les adresses postales et électroniques, les numéros de téléphone et les quatre derniers chiffres du numéro de carte bancaire (ainsi que la date d’expiration).
Les échantillons fournis à Motherboard par un vendeur exerçant sous le pseudo Courvoisier confirment que les données commercialisées appartiennent bien à des utilisateurs d’Uber. Reste un point d’interrogation sur leur origine. Tout au plus sait-on que fin 2014, des accès non autorisés à une base de données auraient exposé les infos privées de plus de 50 000 utilisateurs de l’application VTC.
Du côté d’Uber, on assure n’avoir détecté aucune brèche. D’après l’équipe dirigeante, le problème est le même qu’avec British Airways : les données de connexion ont été récupérés sur d’autres services Web.
Chinoiseries
La fin de semaine a également été marquée par une attaque informatique contre GitHub. Le service d’hébergement et de gestion de développement de logiciels a cédé à plusieurs reprises face à des assauts de type DDoS (déni de service distribué) visant à saturer ses serveurs.
Les premiers symptômes s’étaient fait ressentir dans la journée de jeudi. La situation n’était toujours pas rentrée dans l’ordre ce dimanche, avec des inaccessibilités périodiques de pages bien particulières, pointant vers des copies de sites bannis en Chine (le New York Times, une version non censurée du réseau social Baidu, etc.).
Ce vendredi, GitHub reconnaissait être confronté à une cyber-attaque « sans précédent » depuis le démarrage de ses activités en 2008. Ses équipes ont depuis lors déterminé que l’offensive vise à « faire retirer certains contenus bien spécifiques« .
F-Secure (solutions de sécurité informatique) s’est aperçu que le trafic constitutif du DDoS provient exclusivement de machines connectées au moteur de recherche chinois Baidu… et situées hors de Chine. Dès qu’une requête est lancée, un code s’exécute en arrière-plan et la machine multiplie les connexions à GitHub.
L’attaque est d’autant plus difficile à cerner qu’elle est décentralisée. D’après le Wall Street Journal, une telle capacité de détournement du trafic suggère l’implication des autorités chinoises. Lesquelles avaient opté pour une solution plus radicale il y a deux ans en bloquant GitHub, avant de faire machine arrière face aux plaintes des développeurs dans le pays.
Crédit photo : Pavel Ignatov – Shutterstock.com