Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vade commente la faille qui affecte le système de messagerie d’Uber

janvier 2022 par vade

Dans l’actualité cette semaine : Un chercheur en cybersécurité a fait remonter à Uber - via sa plateforme de bug bounty - une potentielle faille de sécurité critique affectant le système de messagerie électronique de l’entreprise. La faille critique (une « injection HTML dans l’un des terminaux de messagerie d’Uber ») permettrait à des attaquants d’envoyer des emails de phishing – à l’aspect légitime – aux 57 millions d’utilisateurs et chauffeurs Uber.

Adrien Gendre, Directeur Associé et Chief Solution Architect du spécialiste français de la protection des emails, Vade, a souhaité réagir à cette actualité et apporter son éclairage :

« D’un point de vue technique, cette faille critique – qu’elle soit réellement critique ou non, l’enquête le dira – met en lumière un point essentiel : les technologies basées sur l’analyse de la source d’envoi sont dépassées. Et cela pour la simple est bonne raison qu’il est aujourd’hui très facile d’envoyer un email en se faisant passer pour quelqu’un d’autre, et de donner l’illusion d’un email légitime. Dans le cas de cette possible faille du système de messagerie d’Uber, seule l’analyse des composants actifs, tels que les URLs, les pièces jointes, les images distantes, serait valable.

Analyser l’URL est par exemple un élément important car injecter une URL dans les emails est beaucoup plus simple que d’intégrer une pièce jointe malveillante et surtout offre plus de contrôle à l’attaquant. Aujourd’hui des technologies basées sur des algorithmes d’IA – telles que la Computer Vision de Vade - permettent d’analyser des liens, des URL illégitimes, des fausses images dans des emails, et ne se contentent plus de regarder « l’enveloppe » d’un email. Détecter l’email est une chose, mais détecter une page web vers laquelle il mène est essentiel.

Au-delà de cet aspect technique, il convient de noter qu’Uber a déjà été condamné à une amende de plus d’un million de dollars pour une violation de 2016 qui avait entraîné la fuite des données de 57 millions de clients. Uber a depuis une épée de Damoclès au-dessus de sa tête avec des données issues de cette fuite sûrement disponibles à l’achat quelque part et que des personnes pourraient utiliser à des fins malveillantes. »




Voir les articles précédents

    

Voir les articles suivants