En juillet dernier, Twitter a été victime d’une intrusion qui a compromis de nombreux comptes très médiatisés, dont ceux de Barak Obama, Joe Biden, Jeff Bezos et Elon Musk. Alors que l’enquête suit son cours, l’entreprise a déclaré avoir été victime d’une « attaque coordonnée d’ingénierie sociale », confirmant par la même occasion que les cybercriminels avaient ciblé et manipulé avec succès un petit groupe d’employés. Ils ont ensuite utilisé les identifiants de ces derniers pour obtenir un accès non autorisé à un outil administratif uniquement accessible aux équipes d’assistance internes. Puis, les attaquants ont détourné des comptes Twitter et publié des messages pour duper les utilisateurs, afin que ces derniers envoient des paiements en bitcoins à des associations qui se sont avérées frauduleuses.
Associé au départ au travail d'attaquants expérimentés issus d’Etats-nations, il semble maintenant que l'attaque ait été menée par un groupe de pirates relativement peu chevronnés mais motivés par un gain financier. Les attaques d'ingénierie sociale sont efficaces car les cyberattaquants sont des experts dans l'utilisation de la psychologie humaine : ils savent parfaitement manipuler leurs victimes pour les convaincre d'agir ou de divulguer des informations sensibles. La cyberattaque visant Twitter rappelle en outre les dangers d’accès à privilèges non sécurisés aux applications critiques ; tout justificatif ou identité peut très rapidement être associé à des privilèges sous certaines conditions. S'ils ne sont pas correctement sécurisés, les criminels peuvent donc les utiliser pour accéder à des actifs critiques - devises, propriété intellectuelle, ou encore dossiers clients sensibles - causant un préjudice irréparable à l’entreprise visée.
Décryptage de l’attaque contre Twitter
Pour évaluer comment les entreprises peuvent se défendre contre de telles cyberattaques, il est important de comprendre comment ce type d'attaque se produit habituellement. Voici une explication probable de la façon dont l'attaque Twitter a eu lieu.
Dans un premier temps, les cybercriminels ont probablement effectué une reconnaissance pour identifier sur les réseaux sociaux les membres de l'équipe d'assistance interne de Twitter, en particulier les administrateurs système qui avaient probablement accès à la plateforme interne visée. Ensuite, en utilisant les informations personnelles obtenues, les attaquants se sont concentrés sur au moins un employé de Twitter et ont obtenu ses droits d'accès à une conversation sur Slack - un système de messagerie instantanée professionnelle. L'accès à cette messagerie a été possible via une attaque de spear-phishing - c’est-à-dire en utilisant l'ingénierie sociale et en ciblant une personne spécifique - pour cibler son smartphone et détecter lorsque l'employé de Twitter se connectait à la conversation sur cet appareil, pour contourner l'authentification à deux facteurs (2FA). Il s’est avéré que les pirates ont trouvé ensuite les identifiants leur permettant d'accéder au système de gestion interne de l'entreprise dans une conversation sur Slack. Ainsi, les hackers ont pu, soit accéder directement à la plateforme d'administration interne de Twitter, soit se déplacer latéralement et augmenter leurs privilèges jusqu'à ce qu'ils puissent accéder au système. En utilisant des identifiants légitimes, ils pouvaient ensuite opérer discrètement sans être découverts.
Dans un deuxième temps, grâce au contrôle acquis de la plateforme interne, les cybercriminels ont ciblé 130 comptes et en ont compromis 45 avec succès, en modifiant leurs emails associés sans en avertir leurs propriétaires : si l'authentification multi-facteur (MFA) était en place sur un compte, les attaquants ont probablement désactivé cette couche de sécurité, puis ont effectué un changement de mot de passe, qui a été envoyé à une nouvelle adresse email – créée par les attaquants. Grâce à ces nouveaux mots de passe, les hackers ont commencé à publier des tweets sur les comptes compromis. C'est là que la deuxième utilisation de l'ingénierie sociale dans l'attaque est devenue évidente : attribuer des tweets à des personnalités influentes et bien connues, et dont les comptes sont vérifiés, a rendu légitime ces demandes. De plus, le fait que des messages similaires aient été publiés à partir de plusieurs sources fiables différentes renforçait le sentiment qu'il ne s'agissait pas d'une arnaque. Ajouter à cela l'introduction d'un délai limité pour créer un sentiment d'urgence pour les utilisateurs, et vous avez la recette d'un afflux de bitcoin. En effet, en seulement trois heures, les fraudeurs ont collecté 118 000 dollars dans ce que le New York Times a appelé « l'une des attaques en ligne les plus effrontées que l’on ait connues ».
Finalement, l’être humain commettra toujours des erreurs et il n’y a aucun moyen de prévenir complètement les attaques par ingénierie sociale. Cependant, il existe des mesures spécifiques qu’une organisation peut prendre pour réduire considérablement les chances de succès des cybercriminels : la formation continue des employés sur les meilleures pratiques en matière de cybersécurité, y compris sur la manière de repérer une usurpation d’identité ; une gestion stricte des accès à privilèges afin de contenir les déplacements latéraux et l’escalade des privilèges ; le double contrôle qui, par exemple, implique que si un utilisateur tente d’accéder à un système sensible, une requête est créée et doit être confirmée par une deuxième personne autorisée ; ou encore, une surveillance étroite et continue des activités via des outils d’analyse capables d’identifier automatiquement les comportements à risque ou les activités anormales.
L'attaque contre Twitter illustre le combat auquel de nombreuses entreprises sont confrontées aujourd'hui : comment sécuriser au mieux le nombre élevé d'identités qui nécessitent un accès à privilèges à des systèmes sensibles. Il est critique pour les entreprises de mettre en place une gestion des accès à privilèges pour réduire les risques, faciliter le quotidien des équipes de sécurité en utilisant l'automatisation tout en permettant aux utilisateurs de faire leur travail aussi efficacement que possible. En effet, les entreprises qui ne mettent pas les mesures adéquates en place attireront les cyberattaquants et devront s'attendre à des conséquences similaires à celles subies par Twitter.
Par Nir Chako, Security Research Team Leader chez CyberArk