Uber : 57 millions d’utilisateurs seraient menacés par une faille de sécurité

CYBERSÉCURITÉ Cette faille de sécurité permettrait à des hackers d’envoyer un mail au nom d’Uber, d’après un chercheur en sécurité informatique

20 Minutes avec agence
— 
L'application Uber.
L'application Uber. — SOPA Images/SIPA

Le chercheur en sécurité informatique Seif Elsallamy a signalé à Uber la présence d’une  faille de sécurité dans son système d’envoi de mails. Celle-ci donnerait la possibilité à n’importe qui de pouvoir envoyer un mail au nom de l’entreprise à plus de 57 millions d’utilisateurs et de chauffeurs, rapporte BleedingComputer relayé par Phonandroid. Les données de ces comptes avaient en effet déjà été divulguées lors d’un piratage en 2016.

Cette faille pourrait ainsi se révéler particulièrement dangereuse, les mails envoyés de cette façon provenant directement de l’entreprise et pouvant par conséquent être facilement confondus avec les vrais. Ces courriels passeraient même de fait entre les failles du filtre anti-spam des services de messagerie, étant « techniquement parlant » légitimes. C’est par conséquent la nature des demandes (renseignement de coordonnées bancaires ou de données sensibles) qu’il faudra analyser pour éviter toute arnaque.

Une faille discutée par Uber

Parmi les 57 millions de comptes potentiellement atteignables de cette manière, on retrouve notamment l’intégralité des clients français Uber qui étaient inscrits en 2016, soit 1,4 million d’utilisateurs. À l’époque de ce piratage, la CNIL avait ainsi condamné l’entreprise à une amende de 400.000 euros pour avoir massivement mis en danger les données des utilisateurs français.

Informée de cette faille par le rapport envoyé par Seif Elsallamy, l’entreprise n’a pas admis l’existence de ce problème de sécurité, estimant que cette faille seule ne permettait pas à un hacker d’envoyer un mail au nom de l’entreprise. Une lecture contestée par Seif Elsallamy, qui a assuré quant à lui que ce point d’accès permettait à quiconque de créer un mail au nom d’Uber. À noter que ce problème de sécurité avait déjà été signalé à l’entreprise par les chercheurs Soufiane el Habti et Shiva Maharaj, sans qu’ils obtiennent de réponse.