Selon un rapport du gouvernement américain, de nombreuses organisations victimes du gang d’extorsion Lapsus$ via l’échange de cartes SIM et la tromperie des employés par le biais de l’ingénierie sociale n’ont qu’eux-mêmes à blâmer pour avoir été piratés.
Le rapport, publié jeudi dernier par le Cyber Safety Review Board, une branche du Department of Homeland Security, n’avait rien de bon à dire sur les entreprises, les opérateurs de télécommunications et leur dépendance à l’égard de systèmes d’authentification multifacteur (AMF) par SMS facilement contournables.
« Lapsus$ a clairement indiqué à quel point il était facile pour ses membres (des mineurs, dans certains cas) d’infiltrer des organisations bien défendues », indique en partie le rapport. « Lapsus$ a exploité les faiblesses systémiques de l’écosystème pour infiltrer et extorquer des organisations, semblant parfois le faire pour rien de plus que l’attention et la notoriété publique. »
Les attaques liées à Lapsus$ et aux gangs associés incluent :
- Accès aux outils d’entreprise d’une organisation, y compris les logiciels-services contenant du code source et des données client, comme Atlassian, Cloudflare et Slack.
- Vol du code source d’un fournisseur de télécommunications (possiblement une référence à une attaque sur T-Mobile).
- Vol de 200 Go de données d’entreprise à un centre de chirurgie et de réadaptation du Kansas.
- Vol d’environ 37 Go de code source pour plus de 250 projets d’une entreprise technologique, après quoi Lapsus$ l’a rendu disponible en téléchargement dans un torrent en ligne publié sur sa chaîne Telegram (ce qui semble être une référence à un piratage de Microsoft).
- Vol et publication du code source de deux jeux phares d’une société de jeux, y compris les actifs associés des serveurs Confluence et Slack de la société.
- Vol et suppression de 50 To de données, y compris une base de données COVID-19, d’une agence gouvernementale non américaine.
« Parmi ses conclusions », a déclaré l’agence dans un communiqué de presse accompagnant le rapport, « le Conseil a constaté un échec collectif des organisations à tenir compte des risques associés à l’utilisation de la messagerie texte et des appels vocaux pour l’authentification multifacteur ».
Dans un exemple cité par le rapport, en janvier 2022, le gang a eu accès aux outils internes privilégiés d’un fournisseur de services tiers non identifié en compromettant l’ordinateur d’un sous-traitant de support client de l’un de ses sous-traitants de processus métier. La véritable cible de cette attaque n’était pas le fournisseur de services tiers, ni le sous-traitant, mais les clients en aval du fournisseur de services.
« Il s’agit d’un exemple remarquable d’attaque créative en trois étapes de la chaîne d’approvisionnement utilisée par cette catégorie de cybercriminels », indique le rapport.
Bien que le fournisseur de services ne soit pas nommé, cela est similaire à la compromission largement rapportée de 2022 d’un sous-traitant du gestionnaire d’identité et d’accès Okta.
Une tactique du gang : se faire passer pour la police et faire des demandes frauduleuses de divulgation d’urgence aux opérateurs de téléphonie mobile pour obtenir des informations sensibles sur les cibles.
Certaines de ces informations ont permis l’échange de cartes SIM en convainquant un opérateur – ou en piratant le compte du personnel d’assistance à la clientèle d’un opérateur – de transférer le numéro de téléphone mobile d’une cible vers des téléphones intelligents contrôlés par le gang. Ensuite, il pouvait intercepter les SMS et les appels vocaux et recevoir des messages liés à l’AMF qui contrôlent l’accès aux courriels et aux comptes bancaires en ligne.
Le rapport décrit Lapsus$ comme un groupe peu organisé, qui comprenait plusieurs mineurs, basés principalement au Royaume-Uni et au Brésil. Il comptait huit à dix membres connus en avril 2022. Le mois précédent, la police anglaise a arrêté sept personnes en lien avec Lapsus$. Deux mineurs ont été inculpés. En septembre, la police britannique a arrêté un jeune de 17 ans soupçonné de piratage. Les médias ont cité des experts estimant que les trois arrestations étaient liées aux attaques de Lapsus$ contre des sociétés de technologie et de jeux. Puis, en octobre, la police brésilienne a déclaré avoir arrêté un ressortissant brésilien soupçonné d’appartenir à Lapsus$.
Depuis, l’activité Lapsus$ a disparu. Les auteurs du rapport disent qu’ils ne peuvent pas exclure la possibilité que d’autres membres du gang restent discrets.
Parmi les recommandations du comité :
- Les organisations doivent mettre en œuvre « de toute urgence » des contrôles d’accès et des méthodes d’authentification améliorés, et s’éloigner de l’authentification multifacteur basée sur la voix et les SMS. C’est une recommandation que les experts font depuis des années. « Ces méthodes sont particulièrement vulnérables », indique le rapport. Au lieu de cela, les organisations devraient adopter des solutions faciles à utiliser, sécurisées par défaut et sans mot de passe, telles que les méthodes d’AMF conformes à Fast IDentity Online (FIDO)2 et résistantes à l’hameçonnage. Pour faciliter la transition vers l’authentification sans mot de passe, le comité recommande à Washington de développer une feuille de route d’authentification sécurisée pour les États-Unis.
- Les opérateurs devraient mettre en œuvre des méthodes d’authentification plus strictes pour empêcher l’échange frauduleux de cartes SIM.
- Les entreprises doivent accorder la priorité à la résilience et à la récupération rapide pour se défendre contre les attaques par échange de cartes SIM.
- Les organisations devraient planifier les cyber-intrusions perturbatrices en exigeant de l’ensemble de leur entreprise, y compris les fournisseurs externes, qu’ils investissent dans des capacités de prévention, de détection, de réponse et de récupération.
- Le Congrès devrait soutenir la création de programmes et de mécanismes « pansociaux » pour prévenir la cybercriminalité juvénile.
Lapsus$ n’a pas réussi toutes ses tentatives d’attaques, ajoute le rapport. Les organisations dotées de contrôles de défense en profondeur matures étaient les plus résistantes à ces gangs de cybercriminels. Les organisations qui utilisaient des méthodes d’AMF basées sur des applications ou des jetons ou qui employaient des systèmes robustes de détection des intrusions sur le réseau, y compris la détection rapide de l’activité suspecte des comptes, étaient particulièrement résilientes.
« Les organisations qui ont maintenu et suivi leurs procédures établies de réponse aux incidents ont considérablement atténué les impacts » note le rapport. « Les organisations très efficaces ont utilisé des mécanismes tels que les communications hors bande qui ont permis aux professionnels de la réponse aux incidents de coordonner les efforts de réponse sans être surveillés par les cybercriminels. »
« Nous avons besoin de meilleures technologies qui nous amènent vers un monde sans mot de passe, annulant les effets du vol d’informations d’identification », conclut le rapport. « Nous avons besoin que les fournisseurs de télécommunications conçoivent et mettent en œuvre des processus et des systèmes qui empêchent les attaquants de détourner le service de téléphonie mobile. Nous devons redoubler d’efforts sur les architectures à vérification systématique qui supposent une violation. Nous avons besoin que les organisations conçoivent leurs programmes de sécurité pour couvrir non seulement leurs propres environnements informatiques, mais également ceux de leurs fournisseurs qui hébergent des données critiques ou maintiennent un accès direct au réseau. Nous devons donner aux forces de l’ordre les moyens de perturber toutes sortes de cybercriminels. Et nous devons aider les jeunes curieux à utiliser leurs compétences numériques croissantes à des fins positives. »
Adaptation et traduction française par Renaud Larue-Langlois.
