L'attaque de Twitter
Le 15 juillet, Twitter a annoncé et confirmé que les comptes des membres les plus influents de Twitter, dont l'ancien président américain Barack Obama, Bill Gates, Joe Biden et d'autres encore, avaient été compromis.
Un groupe de pirates informatiques a utilisé cet accès sans précédent et la publicité qui en a découlé à des fins apparemment peu sophistiquées, à savoir une opération de vente de bitcoins. Ce qui est plus inquiétant, c'est que les messages directs de ces utilisateurs de Twitter ont pu être accessibles aux "pirates", comme l'a montré Wired rapporte.
Stock Photo Cyber Sécurité
J'ai donc délibérément mis "hackers" entre guillemets. De nombreux propriétaires de comptes affectés ont déclaré qu'ils avaient activé la protection par authentification à plusieurs facteurs pour leur compte et Twitter a confirmé qu'il soupçonnait qu'une attaque d'ingénierie sociale avait réussi sur certains employés de Twitter ayant un accès privilégié à l'infrastructure de Twitter. Dès que les journalistes parlent de "hackers", nous pensons immédiatement à des génies de la technologie socialement maladroits qui utilisent leur maîtrise supérieure de la programmation à des fins malveillantes, en portant des sweats à capuche dans des pièces faiblement éclairées. Cela conduit également à une idée préconçue selon laquelle la cybersécurité doit se concentrer sur la mise en place d'une technologie de défense encore meilleure - invoquant l'image mentale d'un centre de commandement avec un mur vidéo et les "gentils" qui défendent les cyberattaques en temps réel.
En 2020, ces deux clichés ne pourraient être plus éloignés de la réalité. L'attaque proprement dite est probablement le fait d'une équipe hautement qualifiée, au QE élevé, qui a convaincu des employés de Twitter d'effectuer une action qui a permis aux attaquants d'obtenir un accès important.
La cybersécurité en 2020
Les détails du piratage de Twitter sont encore en cours d'élaboration, mais d'après ce que nous savons jusqu'à présent, cet incident est la tempête parfaite de la surface des cybermenaces en 2020. Je m'explique :
Des menaces changeantes
On peut dire que l'année 2020 a entraîné le plus grand changement dans la surface des menaces en un laps de temps très court depuis l'aube des technologies de l'information. Tout le monde étant contraint de travailler à distance, tous les paradigmes antérieurs de la sécurité traditionnelle, tels que le périmètre, ont été détruits en quelques jours ou quelques semaines. La communication humaine a été modifiée en même temps. Si les ingénieurs de Twitter qui ont été pris pour cible avaient été assis à une table dans leur bureau, la demande des attaquants aurait-elle été remise en question ou discutée de manière informelle avec un collègue ?
La cybertechnologie est une marchandise
La mise en œuvre de mesures technologiques pour la sécurité est un service de base en 2020. Lorsque j'étais à l'université, nous apprenions à effectuer un chiffrement RSA sur papier. Puis, à mes débuts dans le cyberespace, s'assurer que son certificat était à jour pour permettre des connexions https sécurisées était un contrôle cybernétique essentiel. Aujourd'hui, il suffit d'utiliser un service pour s'occuper de tout cela. Je dirais que les mesures de sécurité technique d'Alyne sont équivalentes ou supérieures à celles des entreprises du Fortune 500, car la technologie de la cybersécurité est un produit de base. Comme indiqué, de nombreux comptes Twitter concernés ont confirmé qu'ils disposaient d'une authentification à plusieurs facteurs, l'une des mesures technologiques les plus efficaces pour protéger votre compte Twitter. Avec une sécurité technique solide en place, les attaquants doivent chercher le lien le plus faible à exploiter en dehors de la technologie.
Les joyaux de la couronne délocalisés
En tant que professionnels du cyberespace, nous avons été formés à penser aux joyaux de la couronne. Le processus de pensée veut que l'on ne puisse jamais tout protéger, alors on trouve les joyaux de la couronne et on s'assure de dépenser toute son énergie à les protéger. Tesla ne fait pas de publicité et son seul canal de communication avec le public est de facto Twitter. Il y a quelques années, le service marketing interne aurait défini l'intégrité de l'information publique de l'entreprise face au marché comme étant ses joyaux de la couronne, étroitement protégés par des communiqués de presse et une équipe de relations publiques. En 2020, il n'y a plus qu'Elon et son compte Twitter qui nécessitent même une une supervision par la SEC.
Le maillon faible
Avec un environnement rapidement virtualisé, des joyaux de la couronne déplacés et un dispositif de sécurité technique généralement solide, le maillon le plus faible reste les personnes. Si l'on met tout cela ensemble, une attaque coordonnée d'ingénierie sociale sur Twitter est une étape parfaitement logique pour un attaquant à la recherche d'un gain financier (ou du moins c'est ce qu'il semble être jusqu'à présent - je n'exclurais pas la possibilité de l'implication d'un gouvernement hostile pour l'instant). Les personnes sont le lien entre toutes les mesures de sécurité techniques et ce sont elles qui peuvent briser cette clôture à mailles losangées.
Comment renforcer la cyberposture en 2020 ?
Sensibilisation
Ce phénomène n'est pas nouveau - et il n'est pas près de disparaître. Garder les gens informés, sur le qui-vive et vigilants n'est pas un exercice ponctuel et doit être continu. Le travail virtualisé ajoute une nouvelle dimension à cet exercice. Quels sont les canaux sur lesquels nous atteignons les gens aujourd'hui ? Comment attirer l'attention des personnes qui apprécient de travailler à domicile parce qu'elles ne sont "plus distraites" par toutes ces "choses ennuyeuses" comme la sensibilisation à la cybersécurité ? Comment compenser le manque de communication interpersonnelle informelle sur le lieu de travail, qui peut contribuer à maintenir le "buzz" autour de la cybersécurité ?
Implication
Une chose qui nous passionne chez Alyne est d'impliquer les gens dans le processus de sécurité. Rédiger une politique de sécurité et l'appliquer d'en haut ne crée pas d'appropriation, de responsabilité ou d'acceptation dans le public plus large de votre organisation. Si l'interaction avec les cyber-sujets n'est pas collaborative et conversationnelle, votre équipe n'adoptera pas vos efforts dans son travail quotidien. Nous plaidons avec passion pour un système de gestion de la sécurité de l'information (SGSI) qui permette aux gens de communiquer, de discuter, de réviser, de mettre à jour et de changer en permanence, plutôt que de se contenter d'un exercice trimestriel consistant à cocher les cases. Si Twitter disposait d'une telle plateforme, les employés compromis auraient-ils pensé au SGSI avant d'autoriser l'accès ? Auraient-ils revérifié les règles en vigueur ou posé une question rapide pour confirmation ?
Gestion
Les cyniques diront que plus de gestion n'a jamais rien résolu, mais écoutez-moi. La direction ne peut plus déléguer la cybersécurité. Vous ne pouvez pas compter sur votre "Cyber Guy" pour s'en occuper ou tomber dans le cliché de la salle pleine d'écrans "défendant" votre entreprise. La cybersécurité doit figurer à l'ordre du jour de tous les membres de la direction et ils doivent activement défendre cette priorité au sein de l'organisation. Cela reste l'une des mesures les plus efficaces pour accroître la sensibilisation et favoriser une culture de collaboration en matière de cybersécurité.
Je suis certain que nous en apprendrons davantage sur le contexte de l'attaque de juillet 2020 sur Twitter. Surveillez cet espace pour d'autres analyses et commentaires sur l'évolution de la situation.
