L’humain est le maillon faible
Pendant quelques heures le 15 juillet, des individus ont pris le contrôle de 45 comptes Twitter, dont plusieurs parmi les plus importants de la plateforme. Le but : soutirer des bitcoins aux utilisateurs crédules en leur promettant de doubler leur investissement en échange d’un transfert d’argent à une adresse. Un subterfuge qui a permis aux fraudeurs de faire main basse sur 150 000 dollars.
Les enquêtes pour trouver les coupables se poursuivent, mais pour l’instant, tout semble indiquer qu’un groupe de jeunes cyberpirates serait derrière le coup, et non un État-nation ou un groupe criminel organisé.
Selon Twitter, les attaquants n’ont pas profité de failles informatiques du système. Ils ont plutôt « manipulé un petit nombre d’employés [de Twitter] et ont utilisé leurs informations pour accéder aux systèmes internes », pouvait-on lire dans le site de l’entreprise deux jours après l’événement. Autrement dit, c’est comme si des braqueurs de banque avaient soutiré les clés du banquier plutôt que de percer le coffre-fort.
Que les attaquants aient misé sur le piratage psychologique (social engineering en anglais, où un humain, et non une faille de sécurité, est la cible de l’attaque) ne surprend pas David Masson, directeur national de la société de cyberdéfense Darktrace pour le Canada. « L’une des façons les plus faciles de pénétrer une organisation est de pirater les personnes, pas les systèmes. Ce sont les humains qui sont le maillon faible de la chaîne », explique en entrevue à L’actualité cet ancien agent du MI5 britannique et du Service canadien du renseignement de sécurité (SCRS).
Notons que même si le piratage psychologique est souvent associé à l’hameçonnage, un leurre qui permet par exemple de soutirer le nom d’utilisateur et le mot de passe de quelqu’un en lui envoyant un faux formulaire à remplir par courriel, d’autres techniques pourraient avoir été utilisées pour obtenir les accès, notamment en soudoyant des employés.
Le travail à la maison peut augmenter les risques
Une attaque d’une telle ampleur a de quoi surprendre. L’adoption du télétravail à grande échelle par Twitter au début de la crise de la COVID-19 pourrait toutefois avoir facilité la tâche des pirates. « Twitter emploie de nombreuses mesures de sécurité, mais elles sont surtout au siège social de l’entreprise, pas dans toutes les maisons de leurs employés, explique David Masson. Quand 500 personnes sont au bureau, il y a un seul site à protéger. Quand elles sont à la maison, il y en a 500 », poursuit-il.
Pour le directeur de Darktrace au Canada, une telle protection n’est pas impossible, notamment avec des employés bien formés et des outils capables de détecter rapidement les comportements anormaux sur le réseau, mais le travail à domicile rend tout de même plus complexe une tâche qui est déjà ardue à la base.
Ceux qui travaillent de la maison et qui ont accès au réseau de leur entreprise doivent d’ailleurs redoubler de prudence lorsqu’ils reçoivent des liens et des documents par courriel, par exemple. Ils doivent aussi adopter de bonnes pratiques de sécurité informatique, comme choisir des mots de passe complexes et activer l’authentification à deux facteurs de leurs différents comptes (qui exige de s’authentifier avec un mot de passe et un code temporaire, souvent envoyé par message texte).
Les privilèges des employés doivent être restreints
Selon des enquêtes de Vice et du New York Times, les attaquants auraient réussi à prendre le contrôle des comptes d’utilisateurs Twitter à l’aide d’un outil interne utilisé par les employés de l’entreprise. Ce dernier permettrait notamment de changer les adresses courriel associées aux comptes des utilisateurs, et potentiellement de désactiver leur authentification à deux facteurs. C’est en ayant accès à cet outil que les pirates ont pu contrôler des comptes importants et qui étaient vraisemblablement bien protégés.
« Si c’est le cas, j’espère que les entreprises de partout dans le monde vont tirer des leçons de cette affaire : des attaquants ne peuvent profiter de ces outils que si vos employés ont les accès nécessaires pour faire ces changements. Limitez les privilèges de leurs comptes dès maintenant », recommande sur Twitter la consultante en sécurité informatique Rachel Tobac.
Les logiciels potentiellement dommageables et trop facilement accessibles au personnel ont d’ailleurs causé de nombreux problèmes aux entreprises technos ces dernières années. Un employé de Twitter avait notamment temporairement effacé le compte de Donald Trump en 2017 et deux autres avaient espionné des utilisateurs pour le compte de l’Arabie saoudite. Snapchat, Uber et Facebook ont aussi vécu des ennuis similaires.
Les réseaux sociaux, une cible de choix
Des observateurs ont surtout trouvé étonnant que l’attaque sur Twitter se soit soldée par une arnaque aussi simple.
« Si vous aviez le pouvoir de contrôler Twitter pendant quelques heures, le feriez-vous pour seulement 150 000 dollars en bitcoins ? », demande David Masson. Les façons de s’enrichir encore plus en ayant accès à ces comptes sont pourtant nombreuses, par exemple en publiant des messages capables d’affecter les marchés boursiers. Un faux tweet d’Apple — l’une des entreprises victimes de l’attaque — concernant un rappel de tous les iPhone en circulation aurait par exemple pu faire chuter temporairement l’action de l’entreprise.
Les attaquants ont d’ailleurs aussi accédé aux messages privés de 36 utilisateurs, selon ce qu’a annoncé Twitter. Ces informations personnelles pourraient leur permettre de se livrer au chantage. « J’ai l’impression qu’il y a plus dans cette attaque que ce que l’on a vu jusqu’à présent », estime David Masson.
Les prochains assaillants (ou les mêmes, s’ils ont profité de leur présence sur le réseau de Twitter pour installer de nouvelles portes d’entrée) pourraient être plus gloutons. Mais l’argent n’est pas non plus le seul facteur qui motive des attaques contre les réseaux sociaux. Des pirates pourraient aussi choisir de faire un coup d’éclat avant l’élection présidentielle américaine de novembre, par exemple. Les réseaux sociaux ont un impact plus important que jamais pour la diffusion d’informations dans le monde. Ils sont donc une cible de choix pour ceux qui voudraient propager de faux messages lourds de conséquences, peu importe que ce soit dans le but de gagner de l’argent, de nuire à des personnalités ou de s’attaquer à la société en général.
L’attaque de la semaine dernière aura au moins permis de révéler des problèmes de sécurité qui pourront être corrigés par Twitter — et peut-être par les autres plateformes également — d’ici la prochaine attaque. Car en sécurité informatique, la question n’est pas de savoir s’il y aura d’autres tentatives, mais plutôt quand et comment elles auront lieu.
