Accueil Cybersécurité Piratage de Twitter : 130 comptes visés, mais comment ?

Piratage de Twitter : 130 comptes visés, mais comment ?

twitter

Deuxième journée d’investigation pour Twitter, qui apporte peu de précisions supplémentaires sur le piratage massif aux cryptomonnaies mercredi de comptes de personnalités américaines, y compris des comptes certifiés, dont Bill Gates, Elon Musk ou encore Joe Biden et Barack Obama, et de grandes entreprises comme Apple et Uber.  Entre ingénierie sociale et complicité interne, comment les pirates ont-ils pu s’y prendre ? 

Rappelons que les comptes compromis ont ensuite été utilisés pour publier une escroquerie qui promettait de doubler la quantité de bitcoins envoyés à une certaine adresse de portefeuille, mais seulement pour une durée limitée.

130 comptes piratés environ

Ce 17 juillet, le réseau social a indiqué dans un tweet, le dernier en date, que 130 comptes Twitter auraient été piratés : « Selon ce que nous savons à l’heure actuelle, nous croyons que 130 comptes environ ont été ciblés par les attaquants d’une manière ou d’une autre dans le cadre de l’incident. Pour un petit sous-ensemble de ces comptes, les attaquants ont pu prendre le contrôle de ces comptes et envoyer des tweets depuis ces deniers. »

Il a également indiqué qu’il continuait à travailler avec les propriétaires des comptes concernés et à « évaluer si les données non publiques relatives à ces comptes ont été compromises », indiquant qu’il fournirait « des mises à jour » s’il déterminait « que cela s’est produit. »

 

 

Social engineering ou complicité interne

D’après les premières informations livrées par le réseau social après l’attaque, le piratage des comptes aurait été permis par la compromission des outils internes, via du social engineering. Certains médias, comme Motherboard, ont relayé, eux, la possibilité de la complicité d’un collaborateur interne, ayant donné accès à un panneau de contrôle permettant de modifier le mot de passe des comptes protégés et de désactiver leur double authentification. Rappelez-vous d’ailleurs, l’année dernière, deux collaborateurs ont été accusés d’avoir utilisé leur accès aux ressources internes de Twitter et d’avoir aidé l’Arabie Saoudite à espionner des dissidents vivant à l’étranger. Une étude de Verizon estime dans le monde à 30 % les failles de sécurité impliquant des acteurs internes. 

Une telle faille de sécurité via une attaque d’ingénierie sociale aurait pu débuter par l’utilisation de plusieurs vecteurs d’infection possibles, détaille un expert de Check Point.

Lotem Finkelstein

« Une possibilité courante est l’attaque par email de phishing, qui consiste à livrer un logiciel malveillant en pièce jointe ou un lien vers une page de phishing. Elle s’accompagne souvent d’une méthode d’ingénierie sociale afin d’inciter l’utilisateur à cliquer sur la pièce jointe, ou saisir ses identifiants dans une page de phishing frauduleuse », explique Lotem Finkelstein, Head of threat intelligence chez Check Point. Autre vecteur d’attaque possible selon le spécialiste : le phishing vocal ou vishing. « Il s’agit d’une tactique d’ingénierie sociale qui consiste à appeler des collaborateurs afin de gagner leur confiance, récolter des informations, et les tromper pour qu’ils agissent. Au cours des derniers mois, de plus en plus d’entreprises ont signalé que leurs collaborateurs étaient la cible de tels appels de vishing ».

Liviu Arsene, chercheur en cybersécurité chez Bitdefender, penche pour sa part pour une infection initiale via une campagne d’emails de spear phishing non ciblée, dite approche « spray and pray » (les attaquants lancent une campagne assez large et attendent que quelqu’un clic sur un lien) :  » Cette faille très médiatisée de Twitter pourrait ainsi être le résultat d’une campagne d’emails de spear phishing dite de « spray-and-pray », c’est-à-dire des emails envoyés à une cible assez large de personnes. Les attaquants avaient vraisemblablement l’objectif de monétiser rapidement leur accès. Les dégâts auraient en effet pu être bien plus importants si l’attaque avait été une opération hautement coordonnée et sophistiquée, perpétrée par un groupe cybercriminels, dit APT. Notons qu’il est vraisemblable que les attaquants aient exploité le contexte du télétravail, car les employés travaillant à distance sont beaucoup plus susceptibles d’être victimes d’escroquerie notamment d’emails de spear phishing. »

Quand les hackers renseignent sur le modus operandi

Guillaume Vassault Houlière
Guillaume Vassault Houlière, CEO et fondateur de YesWeHack

« C’est une attaque de type social engineering, des personnes du support ayant des droits sur les outils internes de twitter ont été ciblé afin d’élever les droits rapidement des attaquants et de pouvoir dérouler leurs scénarios malveillants », explique de son coté Guillaume Vassault Houlière, CEO de YesWeHack, une société spécialiste du Bug Bounty (chasse au bug menée par de « bons » hackers), une méthode qui permet « non seulement de tester ses systèmes contre de telles attaques, mais peut aussi inciter les hackers à préférer dévoiler les failles découvertes en échange d’une prime plutôt que de les exploiter à des fins criminelles. »  Le dirigeant ajoute :  » Il est toutefois possible que les tweets qui ont été postés via des comptes de personnalité soit une diversion pour un scénario plus complexe et intrusif ». Il est vrai que des théories s’échafaudent dans ce sens (certains évoquant les prochaines élections américaines), sachant que les experts en cyber sont, de par leur métier, amenés à envisager toutes sortes de pistes, même les plus noires.

« Une telle compromission fait appel à des techniques très avancées de hacking, tant informatique que social », explique Guillaume Vassault Houlière. « Pour parer à de telles attaques, il est important de pouvoir tester ses systèmes avec les mêmes techniques que celles utilisées par les hackers, donc de faire directement appel à des hackers », plaide-t-il.

Ce qui amène à penser que Twitter pourrait avoir été en contact avec certains pirates pour comprendre comment ses systèmes avaient été hackés.

 

Le problème de l’accès aux ressources internes

« Qu’il s’agisse de collaborateurs mécontents ou d’attaques d’ingénierie sociale sur mesure, le véritable problème est la difficulté de limiter l’accès aux ressources internes et d’empêcher qu’elles ne deviennent un point de vulnérabilité récurrent », explique Lotem Finkelstein. 

P-L Lussan
Pierre-Louis Lussan

Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix, développe : « Cette attaque nous rappelle à tous que la visibilité des comptes des employés ayant accès aux données critiques, aux outils internes et à tout type de privilèges, est essentielle, d’autant plus dans un contexte où de nombreux employés travaillent encore à distance. C’est le cas notamment, et en particulier, de Twitter où les collaborateurs sont maintenant autorisés à télétravailler de façon permanente. Les organisations doivent continuellement vérifier le comportement des utilisateurs afin de pouvoir détecter à temps les activités malveillantes et de s’assurer que les employés savent comment repérer et arrêter les attaques d’ingénierie sociale. De plus, il est extrêmement important de prêter attention au principe du moindre privilège. Un employé capable d’accorder des autorisations à des comptes de célébrités, d’influenceurs et d’entreprises de haut niveau représente un risque très élevé. »

Ingénierie social ou complicité interne, pour David Higgins, EMEA technical director chez CyberArk, «  »quoi qu’il en soit »cela montre que les pirates cibleront toujours l’accès et les droits à privilèges d’employés. »

Le problème de l’usage des comptes à privilèges

Julien Cassignol

Julien Cassignol, Head of Sales Engineering chez Wallix, spécialiste du PAM, revient justement sur ces comptes à privilèges : « La sécurité des comptes dit « à privilèges » (c’est-à-dire disposant de droits importants ou plus fondamentalement dont la perte ou le mauvais usage est une source de risques, tel un compte Twitter et la – mauvaise – publicité que cela génère) ne peut pas être assurée que par de simples contrôles administratifs de type « faites attention ! ». Encadrer l’usage de ces comptes par la mise en sécurité de leurs authentifiants dans un coffre-fort ou bien encore par le déploiement d’une solution de Single-Sign-On (SSO) s’assurant que l’utilisateur ne dispose pas des authentifiants du compte sensible doit faire partie des bonnes pratiques à mettre en place. Et lorsqu’il s’agit de comptes comme Twitter aussi impactants pour l’image publique d’une personne physique ou morale, nous ne parlons pas que de l’accès qui doit également être renforcé par une authentification à multiples facteurs (MFA), mais également d’usage : savoir ce qui est fait avec ce compte est tout aussi important que de savoir qui y a accès. »

Avant de conclure : « Et pour aller encore plus loin : il est de plus en plus important de savoir ce qui est fait avec le compte, par qui, mais également de créer un contexte où l’utilisateur ne dispose strictement que des droits nécessaires à exécuter la tâche qu’il a à réaliser, par exemple sur Twitter consulter les mentions, ou sur un serveur sensible ne pas disposer de droits surnuméraires mais du strict nécessaire. »
 
Avec le compte piraté de Jack Dorsey l’an dernier, on s’interrogeait déjà sur les problèmes du système de sécurité de Twitter. A l’époque, le manque de sécurité avait été mis en lumière par toutes ces applications qui ont accès aux comptes, comme cela avait été le cas de Cloudhopper (application pour twitter par SMS) dans ce piratage.
En février dernier, Twitter faisait part d’une faille liée à la fonction « Permettez aux personnes qui ont votre numéro de vous trouver sur Twitter ». Une vulnérabilité qui permettait à des hackers de retrouver les numéros de téléphone associés aux comptes de milliers d’utilisateurs, et de lever ainsi une des sécurités des comptes.