Recevez chaque jour toute l'actualité du numérique

x

Cyberattaque de Twilio : un risque de réaction en chaîne préoccupant

Cloudflare, DoorDash, Signal, et des gestionnaires de mots de passe et de services d'authentification ont notamment été visés par ces attaques massives, déclenchant des réactions en chaîne.
Twitter Facebook Linkedin Flipboard Email
×

Cyberattaque de Twilio : un risque de réaction en chaîne préoccupant
Cyberattaque de Twilio : un risque de réaction en chaîne préoccupant © Capgemini

L'attaque de phishing qui a visé Twilio, fournisseur de solutions de communications intégrées, début août, aurait finalement eu des conséquences pour 163 clients de l'entreprise. De plus, on apprend grâce à la société de sécurité Group-IB que cette campagne de phishing (surnommée "0ktapus") aurait infiltré 136 organisations, permettant aux pirates de voler les identifiants d'une dizaine de milliers de comptes durant les six derniers mois, majoritairement aux Etats-Unis. Une grande partie de ces organisations sont clientes du service d'identification d'Okta.
 

un modèle d'attaque de la supply chain

Le gestionnaire de mots de passe LastPass, le spécialiste de l'authentification à deux facteurs Authy (propriété de Twilio), et la plateforme de livraison de repas à domicile DoorDash ont été victimes de fuites de données dans le cadre de cette campagne de phishing. Le fournisseur de services d'authentification Okta, déjà victime d'un vol de données en mars par - a priori – les mêmes pirates, la messagerie Signal et le CDN Cloudflare ont indiqué avoir été visées par le piratage de Twilio. De manière opportuniste ou planifiée, les pirates se sont servis des accès qu'ils ont récupérés pour affecter à leur tour des clients des entreprises piratées ("attaque de la supply chain").

Cette attaque de phishing, qui a déjoué le système d'authentification à deux facteurs de Twilio, s'est appuyée sur l'obtention de numéros de téléphone privés d'employés et de leur famille, pour les inciter par SMS à se logger sur une fausse page d'identification Okta mise en ligne 40 minutes plus tôt seulement. Les systèmes n'ont pas eu le temps de détecter l'usurpation de nom de domaine.

les limites de l'authentification à deux facteurs

Authy, qui stocke les identifiants de 75 millions d'utilisateurs, a déclaré que les pirates avaient utilisé les logins de 93 individus, sans détailler à qui ils appartenaient. LastPass a expliqué de son côté que les pirates avaient eu accès à une partie de son environnement de développement et de son code, mais pas aux données personnelles appartenant à ses clients.

Chez DoorDash, les cybercriminels ont mis la main sur les noms, emails, adresses de livraison, numéros de téléphones et aux quatre derniers numéros de carte bancaire de certains clients. L'entreprise n'a pas précisé combien, se bornant à parler d'un "petit pourcentage". Des noms, numéros de téléphone et adresses email de livreurs ont également été volés. Cloudflare, quant à elle, n'aurait pas subi de dommages.

"S'il y a une leçon à retenir, c'est que tous les systèmes d'autentification à deux facteurs ne se valent pas, analyse le site d'information spécialisé Arstechnica. Les mots de passe uniques envoyés par SMS ou générés par les applis d'authentification sont autant attaquables par phishing que les mots de passe standards." A l'inverse, Cloudflare utilise un système de clés physiques.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.