Twitter ne peut se permettre de subir un autre piratage de grande ampleur alors que l'élection américaine approche. L'entreprise s'attèle à corriger les lacunes évidentes de sa sécurité, exposées lors du piratage du 15 juillet.

Twitter a accusé un énorme raté dans sa sécurité le 15 juillet. Un hacker de 17 ans est parvenu à piéger plusieurs employés avec un phishing téléphonique. Il s’est fait passer pour le service informatique de l’entreprise, et leur a demandé de réinitialiser leur mot de passe. Certains salariés ont obéi à la fausse directive : ils ont entré leurs identifiants et le code de leur double authentification sur un faux portail contrôlé par le pirate.

Non seulement piéger les employés s’est avéré relativement simple, mais en plus, les comptes récupérés ont permis au hacker de s’emparer de plusieurs comptes parmi les plus influents de la plateforme. Le tout, à distance, et sans que Twitter ne parvienne à identifier l’origine de l’attaque. Heureusement, le pirate ne s’est servi de son privilège « que » pour extorquer quelques dizaines de milliers de dollars.

Twitter ne peut pas se permettre que le compte de Donald Trump, friand du réseau social, soit compromis aux alentours des élections. // Source : Gage Skidmore / Flickr

L’incident a servi d’énorme signal d’avertissement au le réseau social. Le 3 novembre, date de l’élection présidentielle américaine, les conséquences d’un piratage de cette ampleur pourraient être bien plus graves. L’entreprise avait déjà commencé à mettre en place certaines mesures additionnelles de sécurité, mais l’attaque qu’elle a subie a considérablement accéléré le processus, qu’elle détaille dans un communiqué.

Ce changement est piloté par le Chief Technology Officer Parag Agrawal, car Twitter n’a plus de Chief Security Officier — un dirigeant dédié aux questions de sécurité — depuis décembre 2019.

Twitter n’avait pas les outils pour gérer un incident d’ampleur

Wired a obtenu des détails sur le déroulé de l’incident, et la panique qu’il a généré. Twitter s’est retrouvé face à une situation imprévue, ce qui explique pourquoi il a mis plusieurs heures à contenir l’incident.

Les systèmes de détections automatiques, trop peu performants, ne parvenaient pas à identifier quels employés s’emparaient des comptes. Les équipes de sécurité ont donc été forcées de prendre une mesure de grande échelle : empêcher tous les comptes certifiés de publier des messages. Ainsi, le schéma d’arnaque au bitcoin lancé par le pirate ne pouvait plus fonctionner.

Un incident de grande ampleur causé par une petite attaque

Mais cette mesure n’avait pas réglé le problème de la taupe en interne : elle pouvait être n’importe où. Twitter a donc éjecté tous ses employés du VPN interne de l’entreprise, pour qu’ils doivent s’y reconnecter. Ensuite, l’équipe de sécurité a forcé tous les employés, le CEO Jack Dorsey y compris, à changer leur mot de passe manuellement. En temps normal, les employés auraient dû venir au bureau du département d’informatique, mais Covid-19 oblige, ces changements se sont faits par visioconférence, sous le contrôle à distance d’un manager.

Mal préparé, Twitter a dû effectuer des changements à très grande échelle pour régler un problème causé par une poignée de comptes compromis. Et plus d’un mois pour revenir à la normale.

Des clés physiques et de l’entraînement pour limiter le phishing

Le phishing est un véritable casse-tête pour les entreprises : les équipes de sécurité peuvent mettre autant de filtres qu’elles le souhaitent sur les boîtes email et les appels, des tentatives finiront toujours par atteindre les employés. Et là, toute la sécurité se retrouve dans les mains de la personne ciblée. Elle doit pouvoir identifier le phishing et le signaler aux personnes compétentes dans l’organisation. Il faut donc qu’elle soit éduquée aux enjeux, et sache comment se protéger en ligne. Pour répondre à cette exigence, Twitter a décidé d’ajouter deux programmes d’entraînements aux personnes qui ont accès aux informations non publiques de l’entreprise.

Mais l’entreprise ne s’arrête pas là. Elle équipe désormais ses employés, ainsi que ses partenaires externes, en clés d’authentification physique. Pour se connecter à un compte de l’équipe d’assistance client, il faut désormais entrer les identifiants, le code de la double authentification et brancher la clé physique sur l’appareil utilisé. Si ce système avait été en place avant, l’incident du 15 juillet n’aurait pas eu lieu. Certes il apporte une difficulté à l’utilisation — cette clé pour être oublié chez soi ou au bureau –, mais il protège contre les prises de contrôle du compte à distance.

En cas de phishing réussi, limiter les risques

Ensuite, Twitter devait mieux se protéger en cas de phishing réussi. Ce genre d’incident arrive régulièrement, c’est pourquoi il doit pouvoir être tracé et contenu efficacement. Si l’entreprise a eu autant de mal à identifier l’attaque du 15 juillet, c’est notamment parce que 20 % des employés avaient accès aux outils de modération qui ont permis de s’emparer des comptes certifiés. Autant dire que les équipes de sécurité n’avaient pas le temps de contrôler plusieurs centaines de comptes à la fois. Twitter a donc réduit le nombre de personnes qui disposent d’accès, ainsi que le pouvoir que confère chaque accès.

Ce n’est pas tout : côté utilisateur, le réseau social a donné des outils de sécurité supplémentaires aux comptes liés à la campagne électorale américaine, sans les détailler. Une manière pour ces comptes de se protéger de l’entreprise elle-même. Vu l’appétence du président et candidat Donald Trump pour Twitter, espérons que cette fois, la sécurité tienne. Pas besoin d’imagination pour envisager les conséquences d’une éventuelle série de tweets malveillants envoyés depuis son compte…

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux