Twitter s’est fait pirater, mais on a de la chance !

Durant la nuit du mercredi 15 juillet au jeudi 16, Twitter a subi une cyberattaque massive, qui a permis à des acteurs encore inconnus de prendre le contrôle d’un nombre important de comptes Twitter et de voler plus de 116’000$.

Durant la nuit du 15 juillet, vers 23h, nous avons vu apparaître un nombre important de tweets publiés sur le compte de personnalités américaines connues (Barack Obama, Joe Biden, Jeff Bezos, Bill Gates, Apple, Uber, Elon Musk,…). Tous ces tweets était pratiquement identiques et incitait le lecteur à transmettre un montant (en bitcoin) sur un compte avec la promesse d’en recevoir le double en retour. Bien entendu il s’agit d’une arnaque et aucun versement en retour n’a été observé.

En quelques heures le service de support de Twitter avait acquitté le problème et commencé à implémenter des solutions de protection radicales, consistant principalement à empêcher les comptes Twitter vérifiés de publier de nouveaux messages. En effet seuls ce type de compte semble avoir été utilisé par les pirates. En parallèle les messages frauduleux ont été rapidement effacés.

Comment s’est passé l’attaque ?

Dans le principe, ce n’est pas une première, il arrive régulièrement que des comptes Twitter de personnes connues soient compromis. Mais il s’agit presque systématiquement d’un problème lié à l’utilisateur ou un tiers (mot de passe trop faible, spearphishing, sim-swapping).

Le cas que nous rencontrons ici est drastiquement différent car plusieurs dizaines (peut-être plus) de comptes ont été affectés en même temps. Il semble peu probable que tous ces acteurs aient perdus l’accès à leurs comptes en même temps. Depuis le début les indices pointent vers un problème de sécurité dans le système de Twitter. Ce qui fini par être confirmé par le service de support de l’entreprise, qui précise qu’une attaque de type « social engineering » a ciblé ses collaborateurs, manifestement avec succès.

Il est donc clair qu’une personne chez Twitter a donné, peut-être involontairement, un accès à un acteur malveillant à une interface qui avait des accès suffisants pour permettre un tel résultat. La conclusion est donc que certains employés de Twitter ont des droits accès étendu aux comptes des utilisateurs (probablement au minimum un droit permettant la modification de l’adresse courriel et/ou N° de téléphone de récupération du compte, permettant ainsi une usurpation d’identité).

On a de la chance !

L’histoire aurait pu avoir des conséquences beaucoup plus dramatiques que de voir quelques pigeons se faire délester d’un total de 116’000 dollars[3]. Nous imaginons deux scénarios à ce stade :

  • Soit les attaquants sont des amateurs et n’ont pas bien réalisé le potentiel des accès qu’ils avaient entre les mains. L’option n’est pas encourageante car elle signifie qu’un outil aussi reconnu et influent que Twitter peut être instrumentalisé facilement.
  • Soit les attaquants étaient très professionnels, mais n’avaient pas comme objectif de créer un maximum de dégâts. On pourrait par exemple envisager que cette attaque soit une contre-attaque au bannissement de TikTok de la plupart des entreprises US.

Il est impossible à ce stade de se prononcer précisément sur les causes et intérêts derrière cette attaque, mais une chose semble évidente : les conséquences auraient pu être dramatiques ! Oui, nous avons de la chance que le groupe derrière cette démarche n’ait pas décidé, par exemple, de twitter en lieu et place du président des USA et des membres de son gouvernement pour annoncer que des missiles nucléaires sont déjà en route vers l’est [2]. Ou encore, pour annoncer de nouvelles sanctions économiques à l’encontre de la Chine, provoquant ainsi une chute des marchés financiers.

Cet événement affaiblira le réseau aux milles chants d’oiseaux de manière durable, car il devient à présent évident que les employés ont des possibilités d’accès aux différents comptes hébergés. D’autres événements plus restreints avaient déjà eu lieu (espionnage d’opposants politiques, harcèlement,…), mais aucun n’avait permis une telle remise en cause de la confiance que l’utilisateur place(ait) dans l’application. Reste à voir si les utilisateurs sauront s’en passer et si Twitter saura restaurer la confiance.

Sources :

[1]https://www.theverge.com/2020/7/15/21326656/twitter-hack-explanation-bitcoin-accounts-employee-tools

[2]https://www.theverge.com/interface/2020/7/15/21325708/twitter-hack-global-security-crisis-nuclear-war-bitcoin-scam

[3]https://www.blockchain.com/btc/address/bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh

Nouvelle vulnérabilité découverte dans Windows

Vous avez encore des PC avec XP, Vista ou 2003 ? Lisez bien ce qui suit, car nous pensons que le prochain wannacry pourrait bien apparaître prochainement.

Le 14 mai 2019 Microsoft a annoncé une mise à jour exceptionnelle concernant ses anciens systèmes d’exploitation XP, Vista et 2003. Si ces logiciels, qui ne sont pourtant plus officiellement supportés, ont subitement profité de cette correction c’est qu’elle permet d’éviter une faille très dangereuse, nommée CVE-2019-0708, touchant les sessions de bureau à distance (RDP).  Il est rare qu’une entreprise comme Microsoft fournisse bénévolement un tel service, c’est donc signe qu’il corrige un problème de taille.

Depuis plusieurs semaines nous observons en libre accès sur internet des expérimentations de plus en plus poussées qui permettent d’utiliser cette faille pour s’introduire de manière frauduleuse sur un ordinateur qui n’aurait pas été mis à jour. Même si, pour l’instant, aucun virus ne s’est répandu ainsi, il est devenu évident que le potentiel destructeur de la vulnérabilité n’a pas encore été pleinement utilisé par les nombreux acteurs malveillants présents sur le net.

Nouveau Wannacry ?

Un virus exploitant habilement ce défaut pourrait facilement s’introduire sur un des ordinateurs de votre réseau, puis utiliser ses propres capacités pour se propager à travers les autres hôtes sains et à jour du réseau.

Un pare-feu ou un anti-virus ne suffirait pas à vous protéger complètement.  Pire encore, c’est en ouvrant une simple pièce jointe malveillante, même via un poste de travail avec un système plus récent et à jour, que le virus pourrait alors découvrir qu’un ordinateur existe à proximité et s’y introduire pour revenir par la suite infecter votre ordinateur sain et envoyer une copie de lui-même à tous vos contacts.

On imagine aisément les effets dévastateurs d’une telle succession d’événements. Nous pensons que nous sommes dans une situation qui est comparable aux semaines qui précédaient la propagation du désormais bien connu Wannacry et qu’il est impératif d’anticiper.

Comment s’en protéger ?

Même si vous avez encore des appareils sur votre réseau qui ont une ancienne version de windows (Vista, XP ou 2003) et que vous ne pouvez pas les changer dans l’immédiat, il existe plusieurs solutions qui permettent de fortement limiter la probabilité qu’ils deviennent un danger pour vous:

  1. Mettez-les à jour. Depuis des années microsoft fait payer les mises à jour pour ces versions de windows et vous n’avez probablement pas débloqué un budget pour cela. Pour une fois ils vous font un cadeau et vous proposent gratuitement une mise à jour, profitez-en !
  2. Séparez les machines concernées de votre réseau de travail. Ne les rendez atteignables que pour les personnes qui en ont réellement besoin, si possible en passant par un pare-feu. Encore mieux : débranchez-les du réseau et passez par une clé USB.
  3. Si vous n’utilisez pas les sessions à distance sur les PC concernés, fermez le pare-feu pour le RDP, ou activez un filtrage ne permettant l’accès qu’aux personnes qui en ont besoin.

Encore mieux : faites les 3 ! Ces opérations ne devraient pas prendre plus d’une heure ou deux à votre technicien par PC et seront dans tous les cas une protection supplémentaire utile si vous vivez avec des versions aussi anciennes de windows.

Comment s’assurer de la solidité des protections ?

Un scan régulier de votre réseau est nécessaire pour détecter les failles de ce type.

Pour plus d’information : https://www.cyber-safe.ch/avantages-du-label

Sources :