Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Piratage de Twitter : 3 experts cybersécurité commentent

juillet 2020 par Experts

Twitter vient vraisemblablement de subir ce qui pourrait être le pire hack de son histoire. Des attaquants ont réussi à prendre le contrôle de certains des comptes vérifiés les plus en vue Elon Musk, Jeff Bezos ou encore Barak Obama pour faire la promotion d’une arnaque Bitcoin. Ils auraient eu accès aux bases de données et back-end de la société, par le biais d’une aide interne. Hier soir, les attaquants avaient récolté plus de 100 000 euros via plus de 300 transactions.

Plusieurs de nos experts vous proposent leur commentaire sur ce piratage exceptionnel :

Todd Peterson, expert en gestion de comptes à privilèges chez l One Identity, aborde la question majeure de la protection des comptes à privilèges, tout en s’étonnant qu’une société de l’envergure de Twitter soit prise en faute à ce niveau :

« Pour réaliser leur job, les administrateurs informatiques disposent d’accès très privilégiés sur le réseau de l’entreprise, notamment à un grand nombre de comptes utilisateurs. Mais ce grand pouvoir s’accompagne d’une grande responsabilité, et il suffit d’un administrateur malveillant abusant de son accès privilégié pour créer un chaos mondial tel que celui vécu actuellement par Twitter. Accéder à des comptes Twitter aussi prestigieux aurait dû être lié à un processus d’approbation, où une seule personne ne peut pas agir seule, sans explication détaillée et sans l’approbation d’un supérieur. Ensuite, un système moderne d’enregistrement et de contrôle aurait été capable d’arrêter l’acteur isolé dans son action, en signalant une activité très inhabituelle, tout en permettant de remonter les traces, et réparer ce qui avait été fait. Il est étonnant de constater qu’une société telle que Twitter ne dispose pas de tels systèmes en place, lorsque l’on sait les impacts que peut générer une activité malveillante venant de l’interne. »

Battista Cagnoni, Consultant cyber au sein de la société, Vectra, spécialiste de la détection et de la réponse aux menaces réseaux, appuie quant à lui sur la difficulté de détecter une menace issue de l’interne, qu’elle soit le fait d’un utilisateur malveillant ou le fruit d’une compromission d’un compte utilisateur légitime par un attaquant externe.

« Bien que la menace interne soit un risque bien identifié et largement utilisé par les attaquants depuis de nombreuses années, il demeure extrêmement difficile de détecter un utilisateur malveillant ou un compte légitime d’utilisateur compromis au sein d’une entreprise. Cette question est récurrente et complexe : Comment détecter un utilisateur légitime ayant une utilisation illégitime d’outils d’administration légitimes ? Cette attaque très médiatisée de l’une des plus grandes plateformes de réseaux sociaux au monde semble avoir un succès limité en termes de gain financier – même s’il y a tout de même une manne financière non négligeable recueillie par les attaquants - mais elle a surtout eu une visibilité mondiale. Les responsables en charge de la réponse à incident doivent actuellement travailler d’arrache-pied pour évaluer l’ampleur du périmètre de la compromission et rechercher toutes preuves d’orchestration à distance s’il est bien avéré que des attaquants ont réussi à pénétrer et à s’infiltrer dans les systèmes de Twitter. »

Liviu Arsene, chercheur en cybersécurité chez Bitdefender penche pour sa part pour une infection initiale via une campagne d’emails de spear phishing non ciblée, dite approche « spray and pray » (les attaquants lancent une campagne assez large et attendent que quelqu’un clic sur un lien) rappelant que le contexte de télétravail est particulièrement propice à ce type d’attaques :

« Les attaquants ont réussi à compromettre des compte Twitter très en vue, qui avaient potentiellement une authentification à deux facteurs… Cela ne peut que pointer vers une cyberattaque coordonnée à l’encontre des employés et les systèmes de Twitter. Notons qu’il est vraisemblable que les attaquants aient exploité le contexte du télétravail, car les employés travaillant à distance sont beaucoup plus susceptibles d’être victimes d’escroquerie notamment d’emails de spear phishing dont le but est de compromettre les terminaux, et au bout du compte les systèmes de l’entreprise.

Cette faille très médiatisée de Twitter pourrait ainsi être le résultat d’une campagne d’emails de spear phishing dite de « spray-and-pray », c’est-à-dire des emails envoyés à une cible assez large de personnes avec . Les attaquants avaient vraisemblablement l’objectif de monétiser rapidement leur accès. Les dégâts auraient en effet pu être bien plus important si l’attaque avait été une opération hautement coordonnée et sophistiquée, perpétrée par un groupe cybercriminels, dit APT.

Beaucoup d’entreprises sont sous la menace d’attaques de phishing ciblant leurs employés. En effet, nous avons pu constater à l’occasion d’une étude récente que seulement 50% des entreprises disposaient de plans permettant de mettre leurs employés en télétravail et de les gérer à distance de manière sécurisée. De ce fait, nous n’avons certainement pas fini de voir des failles de données du fait d’employés négligeant ou d’erreurs de configurations informatiques résultant de cette période de travail à distante que nous vivons actuellement.

Si les grandes entreprises et organisations peuvent disposer de solides défenses de sécurité périmétrique, les professionnels de la sécurité craignent surtout qu’une faille potentielle ne se produise parce que les attaquants exploitent le maillon le plus faible de la chaîne de cybersécurité : le composant humain ».




Voir les articles précédents

    

Voir les articles suivants