Le piratage de Twitter pourrait acter la fin du mot de passe
Twitter a révélé que son piratage du 15 juillet 2020, provenait d'une attaque de phishing (hameçonnage) par téléphone. Les pirates informatiques ont ciblé un petit nombre d'employés pour s'approprier leurs identifiants et accéder aux outils de support interne du groupe. La tempête médiatique passée, il s'agit maintenant, de s'interroger sur les enseignements à tirer. Twitter aurait-il pu éviter l'accès à ses ressources ? Allons-nous vers la fin de l'identification par mot de passe ?
Apprendre de ses erreurs. Bien qu'aucune technologie ne puisse détecter les attaques d'ingénierie sociale (vishing), les organisations pourraient, selon-nous commencer par éliminer les mots de passe, principale faille dans les attaques par hameçonnage. Comprenons que pour qu’une une organisation soit véritablement sécurisée, les employés et les services informatiques doivent se libérer complètement des mots de passe. Comment ? Par l’adoption d’une approche de type ZSO (zero sign-on ou vigilance absolue) permettant une authentification libérée du mot de passe… Cette posture permet de dépasser le simple cadre du mot de passe et de déterminer, via un ensemble plus complet de critères, si les terminaux utilisés sont autorisés ou non à accéder aux ressources de l'entreprise : elle valide l'appareil, évalue l'environnement de l'utilisateur, vérifie l'autorisation des applications et le réseau, détecte et neutralise les menaces avant de permettre un accès sécurisé. Dans le détail, la vigilance absolue combine une variété de facteurs parmi lesquels : les certificats d'identité, la reconnaissance biométrique, les QRcodes, l'OTP et les notifications push, pour fournir une expérience d'authentification personnalisable. Le Smartphone se substitue en quelque sorte à l’identité de l’utilisateur. Le zero sign-on pourra aussi être combiné à une gestion unifiée des terminaux, pour intégrer des signaux supplémentaires comme la position de l'appareil ou encore la version de l'application, afin de créer un meilleur « score de risque ».
La fin du mot de passe ?
Twitter la cible idéale ? Si le site de microblogging avait mis fin au mot de passe, le seul accès à ses ressources aurait été l’utilisation d’un dispositif qui aurait effectué une vérification biométrique - pour confirmer que l’utilisateur est connu - utilise la bonne application et dans un périmètre géographique validé. L’attaque de Twitter aurait pu être évitée ainsi que ses conséquences ! Pour mémoire, les pirates informatiques ont utilisé les identifiants des employés pour cibler 130 comptes de personnalités (Joe Biden, Elon Musk, Bille Gates, etc.). Les faux tweets envoyés comprenaient des liens vers un site de phishing. Ce procédé a permis aux pirates informatiques de gagner 120 000 dollars de Bitcoin, en l’espace de quelques heures.
En somme, les organisations doivent adopter une approche multi-couche pour sécuriser leurs espaces de travail numériques et réduire le risque de violation. Le piratage n’est pas une fatalité… encore faut-il adopter les bonnes technologies. L’attaque de Twitter ? Si elle ne marque pas la fin du mot de passe, elle pourra encourager à repenser les process d’authentification et d’accès. Quelle que soit la technologie adoptée, chaque organisation doit faire de la lutte contre le phishing une priorité absolue.