Pour la plupart elle est passée inaperçue, pour d’autre, il y a deux jours, l’une des cyberattaques les plus impressionnantes de cette décennie a eu lieu sur un mastodonte : Twitter.
Tous les tenants et aboutissants ne sont pas encore révélés mais elle se présente déjà comme un cas d’école pour toutes les entreprises désireuses de soigner leur image de marque.
Le scénario
Il se précise mais l’hypothèse commence par un employé du support de Twitter qui aurait été convaincu de vendre ses accès aux outils d’administration de la plateforme via social engineering. Il avait le privilège, entre autres, de pouvoir modifier les droits de connexion des utilisateurs, même certifiés.
Les attaquants ont utilisé ce privilège pour supprimer l’authentification multi-facteur si bien que des comptes de personnalités publiques se sont retrouvés sans protection. Un changement de mot de passe plus tard, les comptes très suivis de Barack Obama, Elon Musk, Bill Gates et environs 130 autres personnalités influentes diffusaient un Tweet invitant leurs abonnés respectifs à leur envoyer de la monnaie virtuelle (Bitcoin), car, généreux et sous le prétexte d’un évènement spécial, ils leur retourneraient le double dans la foulée.
Le but des attaquants était de récupérer les dons des internautes sans les retourner, bien évidemment.
Le cas d’école
L’ENTRÉE PAR LA PORTE DE SERVICE
Finalement, peu importe que l’employé de twitter soit de mèche ou non avec les attaquants, un mail de phishing aurait très certainement eu le même résultat et donc permis aux attaquants d’entrer dans la forteresse. Le point à souligner ici est qu’une personne qui dispose d’autant de passes partout ne peut pas être laissée libre de tout mouvement sans surveillance. D’autant plus sur des comptes certifiés qui font ici la valeur de l’entreprise.
On note également ici que comme les deux tiers des cyberattaques dans le monde, celle-ci vient de l’interne. Le mythe de l’homme à capuche dans son entrepôt désaffecté n’est plus réellement à l’ordre du jour – Hello #Mr.Robot.
LE CONDITIONNEMENT PAR LA CONFIANCE
Bien que relativement similaires, les tweets envoyés faisaient appel à la relation qu’ont les followers avec la personnalité. Ce biais est utilisé afin de mettre en confiance la personne afin de la conditionner à faire un geste qu’elle n’aurait jamais effectué en temps normal.
Nous avons tous reçu des spams demandant de l’argent pour la petite fille orpheline et handicapée à l’autre bout de monde et nous sommes maintenant bien au fait que ces messages sont frauduleux. Mais il arrive que cela vienne directement d’un collègue ou d’un ami et l’affect intervient. D’autant plus quand les attaquants sont bien informés et « jouent » sur des informations directe de la personne. C’est vrai pour une demande d’argent mais également pour faire cliquer la cible sur un lien pirate. Ici le conditionnement est amplifié par la nature des comptes sélectionnés : ce sont des comptes certifiés, de personnalités influentes et donc, dignes de confiance. Si certains peuvent être perplexes sur une telle démarche d’un président américain comme Barack Obama, ou un philanthrope comme Bill Gates, que dire d’Elon Musk qui n’en est plus à son premier exploit sur Twitter ?
DE TOUTE URGENCE SINON RIEN !
Un détail, 5 mots en fin de tweet qui pourraient paraitre anodins « Only … the next 30 minutes ».
Cet impératif permet une fois encore de conditionner le lecteur par le risque de manquer une opportunité. Stressée par cette éventualité, la personne n’est plus à même de réfléchir aux conséquences de ses actes.
Cette méthode de mise en conditionnement est utilisée depuis des décennies par les escroqueries à l’assurance, aux panneaux solaires, aux prêts à la consommation et également dans le monde digital avec les arnaques au patron ou phishing en tout genre.
Pour les entreprises, il convient de sensibiliser leurs employés, et, comme on peut le voir ici, leurs clients, utilisateurs et partenaires afin de limiter les risques. Un virement en Bitcoin devrait être le premier indice pour identifier une tentative d’attaque, mais chaque individu devrait être à même d’identifier également les ressorts présents dans ces tweets.
LA VICTOIRE DES ATTAQUANTS : LE CLIC
Enfin vient le moment crucial. L’attaque présentée ici aurait certainement pu faire plus de dommage en diffusant de fausses informations, par exemple :
- Joe Biden qui se retirerait de l’investiture à la présidence au profit de Barack Obama
- Elon Musk qui vend ses entreprises à Amazon, information validée par Jeff Bezos
- Apple qui annonce l’arrêt de l’iPhone.
On ne peut qu’imaginer l’impact financier, politique ou médiatique de telles déclarations corroborées par plusieurs personnalités certifiées sur un réseau social d’envergure. Et, on ne peut qu’imaginer également ce qu’un concurrent pourrait payer pour cela.
Cependant le choix des attaquants a été plus modeste : faire cliquer l’utilisateur.
Grâce aux ressorts détaillés plus haut, l’utilisateur est en confiance, mis sous pression par l’enjeu de rater l’opportunité d’un gain à court terme, il clique et se retrouve sur une page dédiée.
C’est le moment crucial pour tout attaquant. Des attaques amateures vont imiter un site avec des fautes, des images non pertinentes, un nom de site web à rallonge, des liens tronqués, etc. Dans une attaque d’envergure comme celle-ci, tout est pensé pour augmenter le conditionnement. Les pages (supprimées depuis) ont un design irréprochable, elles indiquent en temps réel les dons de la personnalité et leur retour doublé gracieusement par le généreux donateur et affichent surtout la durée restante avant la fin de l’opportunité à saisir. Il n’est pas difficile d’imaginer que l’utilisateur donne volontiers ses Bitcoins.
CONCLUSION
Le gain de l’attaque estimé entre $100’000 et $400’000 en 3 heures est assez minime face à l’ampleur de l’attaque et les moyens certainement déployés – même si peu peuvent se targuer d’un tel tarif horaire.
Pour Twitter en revanche il en résulte une chute en bourse – récupéré sur l’exercice – mais surtout une image écornée au point que son CEO est obligé de s’excuser publiquement :
« Journée difficile pour nous sur Twitter. Nous nous sentons tous très mal de ce qui s’est passé.
Nous sommes en train d’analyser et nous partagerons tout ce que nous pourrons quand nous aurons une compréhension plus complète de ce qui s’est passé.
<3 à nos coéquipiers qui travaillent dur pour arranger les choses. »
— jack (@jack) July 16, 2020
Par ailleurs, les malheureux Tweetos qui se sont fait volés leurs Bitcoin, et bien que leur responsabilité personnelle puisse être mise en cause, risquent d’intenter une « class action » afin de mettre la responsabilité sur la plateforme et récupérer leur besogne.
QUELLES LEÇONS EN TIRER ?
Dans cette cyber-attaque, on décèle les biais trop souvent identifiés dans les entreprises.
Trop de collaborateurs se voient attribuer des privilèges par facilité quand ceux-ci peuvent être un moyen d’attaque imparable avec peu d’effort.
Côté sensibilisation, les services à risques tels que les finances ou les directions sont bien loties la plupart du temps, mais on voit ici que le risque est transversal. La sensibilisation est un enjeu de tous, pour tous. Aussi bien dans le cadre professionnel que personnel.
Il convient également de mesurer avec précision les impacts d’une cyberattaque potentielle : coûts opérationnels, actions légales, opinion publique, relations avec les parties prenantes, etc. Elles sont le présent. Pour Twitter comme pour la PME locale, et quels que soient les moyens de protection mis en œuvre. Mais il est essentiel de protéger la valeur et l’intégrité de son entreprise en identifiant et mitigeant les risques par des actions concrètes comme la gestion fine des privilèges mais surtout par la sensibilisation des individus à la cyber criminalité.
