Twitter a accusé un énorme raté dans sa sécurité le 15 juillet. Un hacker de 17 ans est parvenu à piéger plusieurs employés avec un phishing téléphonique. Il s’est fait passer pour le service informatique de l’entreprise, et leur a demandé de réinitialiser leur mot de passe. Certains salariés ont obéi à la fausse directive : ils ont entré leurs identifiants et le code de leur double authentification sur un faux portail contrôlé par le pirate.
Non seulement piéger les employés s’est avéré relativement simple, mais en plus, les comptes récupérés ont permis au hacker de s’emparer de plusieurs comptes parmi les plus influents de la plateforme. Le tout, à distance, et sans que Twitter ne parvienne à identifier l’origine de l’attaque. Heureusement, le pirate ne s’est servi de son privilège « que » pour extorquer quelques dizaines de milliers de dollars.
L’incident a servi d’énorme signal d’avertissement au le réseau social. Le 3 novembre, date de l’élection présidentielle américaine, les conséquences d’un piratage de cette ampleur pourraient être bien plus graves. L’entreprise avait déjà commencé à mettre en place certaines mesures additionnelles de sécurité, mais l’attaque qu’elle a subie a considérablement accéléré le processus, qu’elle détaille dans un communiqué.
Ce changement est piloté par le Chief Technology Officer Parag Agrawal, car Twitter n’a plus de Chief Security Officier — un dirigeant dédié aux questions de sécurité — depuis décembre 2019.
Twitter n’avait pas les outils pour gérer un incident d’ampleur
Wired a obtenu des détails sur le déroulé de l’incident, et la panique qu’il a généré. Twitter s’est retrouvé face à une situation imprévue, ce qui explique pourquoi il a mis plusieurs heures à contenir l’incident.
Les systèmes de détections automatiques, trop peu performants, ne parvenaient pas à identifier quels employés s’emparaient des comptes. Les équipes de sécurité ont donc été forcées de prendre une mesure de grande échelle : empêcher tous les comptes certifiés de publier des messages. Ainsi, le schéma d’arnaque au bitcoin lancé par le pirate ne pouvait plus fonctionner.
Un incident de grande ampleur causé par une petite attaque
Mais cette mesure n’avait pas réglé le problème de la taupe en interne : elle pouvait être n’importe où. Twitter a donc éjecté tous ses employés du VPN interne de l’entreprise, pour qu’ils doivent s’y reconnecter. Ensuite, l’équipe de sécurité a forcé tous les employés, le CEO Jack Dorsey y compris, à changer leur mot de passe manuellement. En temps normal, les employés auraient dû venir au bureau du département d’informatique, mais Covid-19 oblige, ces changements se sont faits par visioconférence, sous le contrôle à distance d’un manager.
Mal préparé, Twitter a dû effectuer des changements à très grande échelle pour régler un problème causé par une poignée de comptes compromis. Et plus d’un mois pour revenir à la normale.
Des clés physiques et de l’entraînement pour limiter le phishing
Le phishing est un véritable casse-tête pour les entreprises : les équipes de sécurité peuvent mettre autant de filtres qu’elles le souhaitent sur les boîtes email et les appels, des tentatives finiront toujours par atteindre les employés. Et là, toute la sécurité se retrouve dans les mains de la personne ciblée. Elle doit pouvoir identifier le phishing et le signaler aux personnes compétentes dans l’organisation. Il faut donc qu’elle soit éduquée aux enjeux, et sache comment se protéger en ligne. Pour répondre à cette exigence, Twitter a décidé d’ajouter deux programmes d’entraînements aux personnes qui ont accès aux informations non publiques de l’entreprise.
Mais l’entreprise ne s’arrête pas là. Elle équipe désormais ses employés, ainsi que ses partenaires externes, en clés d’authentification physique. Pour se connecter à un compte de l’équipe d’assistance client, il faut désormais entrer les identifiants, le code de la double authentification et brancher la clé physique sur l’appareil utilisé. Si ce système avait été en place avant, l’incident du 15 juillet n’aurait pas eu lieu. Certes il apporte une difficulté à l’utilisation — cette clé pour être oublié chez soi ou au bureau –, mais il protège contre les prises de contrôle du compte à distance.
En cas de phishing réussi, limiter les risques
Ensuite, Twitter devait mieux se protéger en cas de phishing réussi. Ce genre d’incident arrive régulièrement, c’est pourquoi il doit pouvoir être tracé et contenu efficacement. Si l’entreprise a eu autant de mal à identifier l’attaque du 15 juillet, c’est notamment parce que 20% des employés avaient accès aux outils de modération qui ont permis de s’emparer des comptes certifiés. Autant dire que les équipes de sécurité n’avaient pas le temps de contrôler plusieurs centaines de comptes à la fois. Twitter a donc réduit le nombre de personnes qui disposent d’accès, ainsi que le pouvoir que confère chaque accès.
Ce n’est pas tout : côté utilisateur, le réseau social a donné des outils de sécurité supplémentaires aux comptes liés à la campagne électorale américaine, sans les détailler. Une manière pour ces comptes de se protéger de l’entreprise elle-même. Vu l’appétence du président et candidat Donald Trump pour Twitter, espérons que cette fois, la sécurité tienne. Pas besoin d’imagination pour envisager les conséquences d’une éventuelle série de tweets malveillants envoyés depuis son compte…
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !