De nombreux comptes Twitter de personnalités ont été touchés mercredi par un piratage qui s’est avéré être une vaste arnaque aux cryptomonnaies.
Scandale d’envergure pour le réseau social Twitter qui subit son plus gros piratage historique. Plusieurs personnalités américaines dont Bill Gates, Elon Musk ou encore Joe Biden, Jeff Bezos et Barack Obama, mais aussi de grandes entreprises comme Apple et Uber ont été victimes mercredi après-midi d’une cyberattaque ciblée avec des messages invitant les internautes à faire parvenir des bitcoins à des adresses spécifiques, prétendant renvoyer en échange le double des montants transférés.
Pourquoi ce piratage est-il le pire de l’existence de Twitter ? Car d’après les informations de Motherboard, ce sont des employés de Twitter qui ont participé et rendu possible l’attaque en fournissant des accès administrateurs aux systèmes internes contre rémunération !
« Joyeux mercredi! J’offre des bitcoins à tous mes abonnés. Je double tous les paiements envoyés à l’adresse bitcoin ci-dessous », ont notamment pu lire les usagers de Twitter sur le compte d’Elon Musk, le fantasque patron de Tesla.
Twitter n’a pas tardé à communiquer sur l’incident :
Internally, we’ve taken significant steps to limit access to internal systems and tools while our investigation is ongoing. More updates to come as our investigation continues.
— Twitter Support (@TwitterSupport) July 16, 2020
Twitter a ensuite précisé la situation au fil des heures :
“Nous avons détecté une attaque coordonnée par des personnes qui ont visé, avec succès, certains de nos employés ayant accès à des systèmes et des outils internes. Nous savons qu’ils ont utilisé cet accès pour prendre le contrôle de beaucoup de comptes très en vue (dont certains certifiés) pour tweeter en leur nom. Dès que nous avons eu connaissance de cet incident, nous avons immédiatement verrouillés les comptes affectés et supprimés les tweets postés“. Le réseau social affirme ensuite avoir pris des initiatives «significatives» pour limiter l’accès à ses systèmes internes, mais bien sur le mal est fait !
Cela montre encore une fois que l’on peut déployer toutes les protections possibles (de type double authentification / certification de compte ou autre) mais qu’il restera toujours une faille massive et imprévisible dans les systèmes d’information : la faille humaine !
L’action Twitter en bourse s’est d’ailleurs écroulée rapidement après la révélation du piratage. Justin Sun, un jeune entrepreneur américain très actif dans les cryptomonnaies et lui-même victime du piratage, a offert un million de dollars à quiconque identifierait les pirates.
Pour ce qui concerne l’arnaque au Bitcoin, les pirates ont visiblement pu abuser certains internautes par le piège tendu : les transactions, toutes visibles puisque le bitcoin repose sur un système de blockchain, indiquent que 12.865 bitcoins ont été versés, soit près 104 000 euros. Voilà donc pour le butin de la fraude en elle-même. Mais parions que le déficit d’image pour Twitter coûtera bien plus que cela !
Rappelons que par le passé, Twitter a déjà été victime de nombreuses cyberattaques ayant entachées son image de marque.
Alors que des personnalités ont été visées mercredi par un piratage massif et inédit aux cryptomonnaies de leurs comptes Twitter, Loïc Guézo, Directeur de la Stratégie Cybersécurité, EMEA au sein de Proofpointapporte l’éclairage suivant :
« Alors que les origines ou la portée de cette attaque sont encore en cours d’investigation, il s’avère que le scam (la fraude) coordonné proposant un versement de Bitcoin était conçu pour convaincre des millions de followers sur Twitter de la véracité du tweet concerné, de cliquer sur le lien, et de payer des Bitcoin.
L’humain reste la cible principale des acteurs de la menaces, même dans les scénarios dans lesquels un système est aussi possiblement compromis. L’ingénierie sociale de ce scam montre que les auteurs ont d’abord ciblé des employés de Twitter ayant accès à des outils internes, puis ont compté sur la confiance accordée aux comptes vérifiés ainsi que sur l’attractivité de doubler sa mise. Au-delà, la mise en place d’une limite de temps et d’une solution simple pour le paiement ont encore ajouté à la crédibilité de l’attaque. Les acteurs malveillants comprennent parfaitement la nature humaine et restent en permanence à l’affut des opportunités de tirer parti de la confiance de notre société dans les réseaux sociaux et le numérique. »
Plusieurs experts ont commenté ce piratage exceptionnel :
Todd Peterson, expert en gestion de comptes à privilèges chez le spécialiste mondial, One Identity, aborde la question majeure de la protection des comptes à privilèges, tout en s’étonnant qu’une société de l’envergure de Twitter soit prise en faute à ce niveau :
« Pour réaliser leur job, les administrateurs informatiques disposent d’accès très privilégiés sur le réseau de l’entreprise, notamment à un grand nombre de comptes utilisateurs. Mais ce grand pouvoir s’accompagne d’une grande responsabilité, et il suffit d’un administrateur malveillant abusant de son accès privilégié pour créer un chaos mondial tel que celui vécu actuellement par Twitter. Accéder à des comptes Twitter aussi prestigieux aurait dû être lié à un processus d’approbation, où une seule personne ne peut pas agir seule, sans explication détaillée et sans l’approbation d’un supérieur. Ensuite, un système moderne d’enregistrement et de contrôle aurait été capable d’arrêter l’acteur isolé dans son action, en signalant une activité très inhabituelle, tout en permettant de remonter les traces, et réparer ce qui avait été fait. Il est étonnant de constater qu’une société telle que Twitter ne dispose pas de tels systèmes en place, lorsque l’on sait les impacts que peut générer une activité malveillante venant de l’interne. »
Battista Cagnoni, Consultant cyber au sein de la société, Vectra, spécialiste de la détection et de la réponse aux menaces réseaux, appuie quant à lui sur la difficulté de détecter une menace issue de l’interne, qu’elle soit le fait d’un utilisateur malveillant ou le fruit d’une compromission d’un compte utilisateur légitime par un attaquant externe :
« Bien que la menace interne soit un risque bien identifié et largement utilisé par les attaquants depuis de nombreuses années, il demeure extrêmement difficile de détecter un utilisateur malveillant ou un compte légitime d’utilisateur compromis au sein d’une entreprise. Cette question est récurrente et complexe : Comment détecter un utilisateur légitime ayant une utilisation illégitime d’outils d’administration légitimes ? Cette attaque très médiatisée de l’une des plus grandes plateformes de réseaux sociaux au monde semble avoir un succès limité en termes de gain financier – même s’il y a tout de même une manne financière non négligeable recueillie par les attaquants – mais elle a surtout eu une visibilité mondiale. Les responsables en charge de la réponse à incident doivent actuellement travailler d’arrache-pied pour évaluer l’ampleur du périmètre de la compromission et rechercher toutes preuves d’orchestration à distance s’il est bien avéré que des attaquants ont réussi à pénétrer et à s’infiltrer dans les systèmes de Twitter. »
Liviu Arsene, chercheur en cybersécurité chez Bitdefender penche pour sa part pour une infection initiale via une campagne d’emails de spear phishing non ciblée, dite approche « spray and pray » (les attaquants lancent une campagne assez large et attendent que quelqu’un clic sur un lien) rappelant que le contexte de télétravail est particulièrement propice à ce type d’attaques :
« Les attaquants ont réussi à compromettre des compte Twitter très en vue, qui avaient potentiellement une authentification à deux facteurs… Cela ne peut que pointer vers une cyberattaque coordonnée à l’encontre des employés et les systèmes de Twitter. Notons qu’il est vraisemblable que les attaquants aient exploité le contexte du télétravail, car les employés travaillant à distance sont beaucoup plus susceptibles d’être victimes d’escroquerie notamment d’emails de spear phishing dont le but est de compromettre les terminaux, et au bout du compte les systèmes de l’entreprise. Cette faille très médiatisée de Twitter pourrait ainsi être le résultat d’une campagne d’emails de spear phishing dite de « spray-and-pray », c’est-à-dire des emails envoyés à une cible assez large de personnes avec . Les attaquants avaient vraisemblablement l’objectif de monétiser rapidement leur accès. Les dégâts auraient en effet pu être bien plus important si l’attaque avait été une opération hautement coordonnée et sophistiquée, perpétrée par un groupe cybercriminels, dit APT. Beaucoup d’entreprises sont sous la menace d’attaques de phishing ciblant leurs employés. En effet, nous avons pu constater à l’occasion d’une étude récente que seulement 50% des entreprises disposaient de plans permettant de mettre leurs employés en télétravail et de les gérer à distance de manière sécurisée. De ce fait, nous n’avons certainement pas fini de voir des failles de données du fait d’employés négligeant ou d’erreurs de configurations informatiques résultant de cette période de travail à distante que nous vivons actuellement. Si les grandes entreprises et organisations peuvent disposer de solides défenses de sécurité périmétrique, les professionnels de la sécurité craignent surtout qu’une faille potentielle ne se produise parce que les attaquants exploitent le maillon le plus faible de la chaîne de cybersécurité : le composant humain ».