Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Twitter subit une attaque sans précédent qui a affecté les comptes du président Barack Obama et celui de Kim Kardashian

juillet 2020 par Marc Jacob

L’une des pires failles de sécurité de l’histoire de l’entreprise : de nombreux comptes Twitter très médiatisés ont été piratés le 15 juillet avec des tweets faisant la promotion d’une arnaque aux bitcoins envoyés depuis tous ces comptes. Parmi ceux piratés l’on compte celui du président Barack Obama, ou encore celui de Joe Biden, d’Elon Musk, de Kanye West et d’autres.

Après que Twitter ait initialement supprimé la plupart des tweets, une deuxième vague de tweets similaires a été renvoyée. Luttant pour reprendre le contrôle, Twitter a pris la mesure drastique de désactiver la capacité des comptes ciblés à émettre des tweets. L’entreprise a fait savoir aux internautes par tweet que les utilisateurs ne pourraient peut-être pas publier sur la plateforme ou réinitialiser leurs mots de passe, le temps d’examiner la situation. Le service a finalement été rétabli vers 20h30 le 15 juillet.

Alors, que s’est-il passé ? Ce que nous savons, c’est que les comptes n’ont pas été piratés. Twitter a annoncé que la source de la brèche était une "attaque coordonnée d’ingénierie sociale" touchant plusieurs employés et permettant au(x) pirate(s) d’accéder aux systèmes internes de l’entreprise

Attaques d’ingénierie sociale, qu’est-ce que s’est ?

L’ingénierie sociale est la pratique consistant à manipuler psychologiquement les gens pour leur faire révéler des informations confidentielles. Certaines formes sont très courantes :

- Phishing (ou hameçonnage)

Le phishing est un type d’escroquerie par mail qui incite les destinataires à cliquer sur un lien ou une pièce jointe frauduleuse. Il existe différents types d’attaques de phishing. Un mail de phishing peut inciter son destinataire à se connecter à un site web usurpé afin d’extraire le nom d’utilisateur et le mot de passe de la victime, ou demander à la victime de télécharger une pièce jointe frauduleuse, qui est en fait un logiciel malveillant. Ces attaques sont efficaces car les mails usurpés sont souvent impossibles à distinguer des mails légitimes, à l’exception de petites modifications du champ "de", de l’URL du lien ou du site web de l’entreprise usurpée.

- Pretexting

Dans ce scénario, une personne malhonnête crée un scénario ou un prétexte fabriqué de toutes pièces afin d’obtenir des informations sensibles. La personne peut se faire passer pour un collègue ou une autre personne de confiance. Ces situations comprennent souvent un certain dialogue et de nombreux échanges afin de mettre en place la fausse narration et ciblent souvent les employés des finances ou des ressources humaines.

- Scareware (ou alarmiciel)

Se faisant passer pour des messages système ou envoyés par le biais de spams offrant de faux services, les scareware submergent les utilisateurs de menaces fictives. Un exemple est une bannière popup conçue pour avoir l’air légitime qui dit : "Votre ordinateur peut être infecté par un logiciel espion. Installez cet outil maintenant". L’"outil" est en fait un malware (ou logiciel malveillant) qui va infecter l’ordinateur de l’utilisateur.

- Baiting

L’escroquerie massive aux bitcoins, mise en place le 15 juillet et visant des célébrités et des politiciens, était en fait une forme de baiting. Le baiting est similaire au phishing sauf que dans ce cas, l’arnaqueur cherche à exploiter la curiosité ou l’avidité de ses victimes par des promesses d’argent ou d’objets. Bien qu’il y ait quelques spéculations, on ne sait toujours pas quel type d’attaque d’ingénierie sociale a permis aux pirates d’accéder aux systèmes internes de Twitter.

Qu’est-ce que cela signifie pour les entreprises vulnérables à une attaque similaire ?

Selon Intel Security, 97 % des personnes dans le monde sont incapables d’identifier un mail de phishing sophistiqué, et les attaques ne ciblent généralement pas les professionnels de la sécurité expérimentés. Les criminels concentrent plutôt leurs efforts sur la base des employés ou sur des individus spécifiques au sein d’une entreprise qui ont tendance à donner le plus de pouvoir ou d’accès. La première étape consiste donc à sensibiliser les employés à la sécurité. Cela peut vous aider à réduire votre exposition aux nombreuses menaces de cybersécurité.

Cependant, si l’éducation est importante, la mise en place des bons outils et de processus est tout aussi essentielle. Selon le DBIR 2020 de Verizon, 80 % des violations de données pourraient être dues à un mot de passe d’employé faible ou réutilisé. Un gestionnaire de mots de passe est la meilleure première ligne de défense contre une violation de données. En encourageant et en permettant aux employés de modifier leur comportement en matière de sécurité et de mots de passe, un gestionnaire de mots de passe minimise la surface d’attaque de votre entreprise et renforce l’une de vos plus grandes vulnérabilités.




Voir les articles précédents

    

Voir les articles suivants