Les pirates de Twilio ont sévi chez 136 autres entreprises

unique supplémentaire ou d'une confirmation pour vous connecter. © Getty Images
Els Bellens

L’attaque lancée contre la firme d’authentification Twilio au début de ce mois semble être nettement plus vaste qu’imaginé au départ. Le gestionnaire de mots de passe LastPass et l’entreprise d’authentification Authy en ont également été les victimes.

Début août, on apprenait que des données avaient été volées chez le géant américain de la communication Twilio. L’entreprise, qui fournit entre autres l’authentification à plusieurs facteurs à Facebook et à Uber, a été ciblée par une attaque d’hameçonnage (‘phishing’), par laquelle les hackers ont eu accès à une banque de données de clients.

A présent, la firme de sécurité Group-IB signale dans un rapport que cette attaque faisait partie d’une campagne d’hameçonnage nettement plus vaste, qui a réussi à toucher 136 entreprises au moins. Group-IB a appelé cette campagne oktapus d’après le nom de la firme d’authentification, dont le logiciel est utilisé par nombre des victimes. Parmi celles-ci, on trouverait notamment la firme d’authentification et filiale de Twilio, Authy, ainsi que le gestionnaire de mots de passe LastPass et le fournisseur américain de repas DoorDash. Tous trois ont reconnu une fuite de données ces dernières semaines.

Le service de messagerie Signal et le fournisseur de logiciels d’authentification Okta ont eux aussi signalé que leurs données avaient été visionnées suite au piratage de Twilio. Dans le cas d’Okta, il s’agit déjà de la deuxième attaque cette année. Des données issues de l’agression sur Okta en mars ont probablement été utilisées pour renforcer les attaques d’hameçonnage qui suivirent.

‘Phishing’

Selon Group-IB, les 136 entreprises ont été attaquées par le même groupe que celui qui s’en est pris à Twilio, via une forme sophistiquée de ‘phishing’. Des cibles travaillant pour l’une de ces 136 entreprises ont reçu un SMS les orientant vers une fausse version d’un écran de connexion à l’authentification Okta. Le but de l’attaque était d’intercepter les identifiants et les codes d’authentification Okta et ainsi de se connecter aux entreprises en question.

Les cibles et les victimes de ce groupe sont inquiètes dans la mesure où il s’agit en grande partie d’entreprises qui fournissent l’authentification à d’autres. Il s’agirait donc d’attaques d’une chaîne d’approvisionnement, qui devraient donner accès à d’autres firmes encore. Authy conserve par exemple des jetons (‘tokens’) de contrôle à deux facteurs (2FA) de 75 millions d’utilisateurs. L’attaque sur l’entreprise a été apparemment exploitée pour ajouter de nouveaux appareils capables de recevoir des mots de passe uniques. Ils auraient été entre-temps supprimés par l’entreprise elle-même. LastPass a subi le vol d’une partie de son code-source, mais déclare que les mots de passe et d’autres données des comptes clients n’ont pas été touchés.

2FA et Cloudflare

Okta signale dans un rapport que lors de l’attaque contre son réseau, le groupe recherchait spécifiquement des numéros de téléphone, dont une majorité de la même entreprise. Cela peut vouloir indiquer que les agresseurs voulaient pénétrer dans l’entreprise en question.

Ce que la campagne démontre déjà, c’est que chaque forme de 2FA n’est pas complètement sûre. Le système est certes encore et toujours nettement plus performant qu’un simple mot de passe, mais peut quand même être piraté en y consentant suffisamment d’efforts et de temps. Le groupe à l’initiative de cette campagne cible tout spécialement l’interception de SMS d’authentification à des fins d’intrusion. Cela se remarque aussi au témoignage d’une des visées qui n’a cependant pas été infiltrée: Cloudflare. Cette entreprise déclare, tout comme les autres, avoir été la victime d’une ttaque, mais que son personnel utilise 2FA via des clés spécifiques telles Yubikey. Ces codes s’avèrent nettement plus difficiles à intercepter qu’un SMS, ce qui fait que les agresseurs ont mordu la poussière chez Cloudflare.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire