Getty Images
Les retombées de la violation de ce mois-ci du fournisseur de sécurité Twilio continuent de se produire. Trois nouvelles entreprises – le service d’authentification Authy, le gestionnaire de mots de passe LastPass et le service de livraison de nourriture DoorDash – ont déclaré ces derniers jours que la compromission de Twilio les avait conduits à être piratés.
Les trois sociétés rejoignent le service d’authentification Okta et le fournisseur de messagerie sécurisée Signal dans le club douteux des clients Twilio connus pour avoir été piratés lors d’attaques ultérieures qui ont exploité les données obtenues par les intrus. Au total, la société de sécurité Group-IB a déclaré jeudi qu’au moins 136 entreprises avaient été piratées de la même manière, il est donc probable que de nombreuses autres victimes seront annoncées dans les jours et les semaines à venir.
Ingénieux
Les compromis d’Authy et LastPass sont les plus préoccupants des nouvelles révélations. Authy dit qu’il stocke des jetons d’authentification à deux facteurs pour 75 millions d’utilisateurs. Compte tenu des mots de passe que l’acteur de la menace a déjà obtenus lors de violations précédentes, ces jetons ont peut-être été les seuls éléments empêchant la prise de contrôle de plusieurs comptes. Authy, qui appartient à Twilio, a déclaré que l’acteur de la menace utilisait son accès pour se connecter à seulement 93 comptes individuels et inscrire de nouveaux appareils pouvant recevoir des mots de passe à usage unique. Selon à qui appartiennent ces comptes, cela pourrait être très mauvais. Authy a déclaré avoir depuis supprimé les appareils non autorisés de ces comptes.
LastPass a déclaré que le même acteur de la menace a utilisé des données extraites de Twilio pour obtenir un accès non autorisé via un seul compte de développeur compromis à des parties de l’environnement de développement du gestionnaire de mots de passe. À partir de là, les hameçonneurs “ont pris des portions du code source et des informations techniques propriétaires de LastPass”. LastPass a déclaré que les mots de passe principaux, les mots de passe cryptés et les autres données stockées dans les comptes clients, ainsi que les informations personnelles des clients n’étaient pas affectés. Bien que les données LastPass connues pour être obtenues ne soient pas particulièrement sensibles, toute violation impliquant un important fournisseur de gestion de mots de passe est grave, compte tenu de la richesse des données qu’il stocke.
Publicité
DoorDash a également déclaré qu’un nombre non divulgué de clients s’était fait voler leurs noms, adresses e-mail, adresses de livraison, numéros de téléphone et numéros de carte de paiement partiel par le même acteur de la menace. L’auteur de la menace a obtenu les noms, numéros de téléphone et adresses e-mail d’un nombre non divulgué d’entrepreneurs DoorDash.
Comme déjà signalé, l’attaque de phishing initiale sur Twilio a été bien planifiée et exécutée avec une précision chirurgicale. Les acteurs de la menace avaient des numéros de téléphone privés d’employés, plus de 169 domaines contrefaits imitant Okta et d’autres fournisseurs de sécurité, et la possibilité de contourner les protections 2FA qui utilisaient des mots de passe à usage unique.
La capacité de l’acteur menaçant à exploiter les données obtenues lors d’une brèche pour lancer des attaques de la chaîne d’approvisionnement contre les clients des victimes – et sa capacité à ne pas être détecté depuis mars – démontre son ingéniosité et ses compétences. Il n’est pas rare que les entreprises qui annoncent des violations mettent à jour leurs divulgations dans les jours ou les semaines qui suivent pour inclure des informations supplémentaires qui ont été compromises. Il ne sera pas surprenant qu’une ou plusieurs victimes ici fassent de même.
S’il y a une leçon dans tout ce gâchis, c’est que tous les 2FA ne sont pas égaux. Les mots de passe à usage unique envoyés par SMS ou générés par des applications d’authentification sont aussi hameçonnables que les mots de passe, et c’est ce qui a permis aux pirates de contourner cette dernière forme de défense contre les usurpations de compte.
Une entreprise qui a été ciblée mais qui n’a pas été victime était Cloudflare. La raison : les employés de Cloudflare se sont appuyés sur 2FA qui utilisaient des clés physiques telles que Yubikeys, qui ne peuvent pas être hameçonnées. Les entreprises qui débitent le mantra fatigué qu’elles prennent la sécurité au sérieux ne devraient pas être prises au sérieux à moins que la 2FA basée sur des clés physiques ne soit un élément essentiel de leur hygiène numérique.