L’attaque conte Twilio révèle les faiblesses des systèmes d’authentification multifacteur

La dernière révélation sur la campagne de hameçonnage visant à compromettre les comptes de connexion des employés de Twilio est un rappel que l’authentification multifacteur pour protéger les connexions peut être contournée si les systèmes qui la sous-tendent ne sont pas sécurisés.

Twilio est un service qui agit comme un pont entre Internet et les réseaux téléphoniques. Il peut, par exemple, aider les acheteurs de produits à communiquer avec le support client par courriel, par messages texte (SMS) et par messages téléphoniques. Utilisé par de nombreuses grandes entreprises, c’est une cible idéale pour une attaque de la chaîne d’approvisionnement par des cybercriminels pour pénétrer dans les systèmes informatiques de ses clients.

C’est ce que révèle un rapport du fournisseur d’identité et d’accès Okta sur la façon dont il s’est retrouvé au centre de l’escroquerie par hameçonnage de Twilio plus tôt ce mois-ci. Certains clients de Twilio utilisent Okta pour l’authentification multifacteur. Entre autres choses, le rapport montre que les responsables de l’informatique et de la sécurité doivent bien réfléchir avant de faire confiance à l’authentification à deux facteurs par SMS pour protéger leurs systèmes contre le piratage.

Dans le rapport, Okta a  reconnu qu’un « petit nombre » de numéros de téléphone mobile de clients Twilio, ainsi que des messages SMS avec des mots de passe à usage unique pour l’authentification à deux facteurs envoyés à ces appareils, étaient accessibles par le cybercriminel qui a pénétré dans les consoles des employés de Twilio. plus tôt ce mois-ci.

On ne sait pas combien de connexions de personnes ont été compromises par la capacité de l’attaquant à voir leurs codes d’authentification. Otka note qu’un code d’accès à usage unique n’est valide que pendant cinq minutes.

Otka propose à ses clients un certain nombre d’options pour l’authentification à deux et plusieurs facteurs. Les experts en cybersécurité s’accordent à dire que l’authentification par SMS vaut mieux que rien. Mais ils disent également que l’authentification basée sur les applications – comme Google Authenticator, Twilio’s Authy, Microsoft Authenticator ou Cisco Systems’ Duo – est plus sûre contre l’interception.

Cependant, la sécurité de toute solution dépend de l’ensemble de son processus. La preuve : Twilio a reconnu que lors de la campagne de hameçonnage d’août, les pirates ont accédé aux comptes de 93 utilisateurs individuels d’Authy. En utilisant cet accès, les pirates ont enregistré les appareils mobiles qu’ils possédaient sur ces comptes compromis, de sorte qu’ils ont pu recevoir tous les codes d’authentification à deux facteurs d’Authy envoyés jusqu’à ce que Twilio les coupe.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Uber affirme que la compromission des informations d’identification d’un fournisseur a conduit à une violation de données

Uber a offert plus de détails au sujet de la dernière violation de ses contrôles de sécurité, affirmant que la compromission des informations d'identification d'un sous-traitant externe était le point de départ de l'attaque. Il pense également que l'agresseur était lié au gang d'extorsion Lapsus$.

Un employé d’Uber aurait donné son mot de passe à un usurpateur informatique

Un pirate informatique de 18 ans revendique la responsabilité de ce qui est considéré comme une énorme violation des contrôles de sécurité chez Uber.

Cisco admet que les données publiées par un gang de rançongiciels proviennent de ses systèmes

Cisco Systems a admis que les données publiées dimanche par le gang de rançongiciels Yanluowang avaient été volées au géant des réseaux lors d'une cyberattaque plus tôt cette année.

Le groupe hôtelier InterContinental victime d’une cyberattaque

La société hôtelière britannique InterContinental Hotels Group PLC (IHG) publiait hier une déclaration confirmant une cyberattaque sur un certain nombre de ses systèmes technologiques, deux jours après la perturbation de ses canaux de réservation et d'autres applications. IHG a déclaré qu'ils enquêtaient sur une « activité non autorisée ».

Plus de détails sur la fuite de données chez BRP

BRP, fleuron québécois de l’industrie des véhicules récréatifs, publiait hier soir une mise à jour au sujet de la cyberattaque dont elle a été victime le 9 août dernier.