La dernière révélation sur la campagne de hameçonnage visant à compromettre les comptes de connexion des employés de Twilio est un rappel que l’authentification multifacteur pour protéger les connexions peut être contournée si les systèmes qui la sous-tendent ne sont pas sécurisés.
Twilio est un service qui agit comme un pont entre Internet et les réseaux téléphoniques. Il peut, par exemple, aider les acheteurs de produits à communiquer avec le support client par courriel, par messages texte (SMS) et par messages téléphoniques. Utilisé par de nombreuses grandes entreprises, c’est une cible idéale pour une attaque de la chaîne d’approvisionnement par des cybercriminels pour pénétrer dans les systèmes informatiques de ses clients.
C’est ce que révèle un rapport du fournisseur d’identité et d’accès Okta sur la façon dont il s’est retrouvé au centre de l’escroquerie par hameçonnage de Twilio plus tôt ce mois-ci. Certains clients de Twilio utilisent Okta pour l’authentification multifacteur. Entre autres choses, le rapport montre que les responsables de l’informatique et de la sécurité doivent bien réfléchir avant de faire confiance à l’authentification à deux facteurs par SMS pour protéger leurs systèmes contre le piratage.
Dans le rapport, Okta a reconnu qu’un « petit nombre » de numéros de téléphone mobile de clients Twilio, ainsi que des messages SMS avec des mots de passe à usage unique pour l’authentification à deux facteurs envoyés à ces appareils, étaient accessibles par le cybercriminel qui a pénétré dans les consoles des employés de Twilio. plus tôt ce mois-ci.
On ne sait pas combien de connexions de personnes ont été compromises par la capacité de l’attaquant à voir leurs codes d’authentification. Otka note qu’un code d’accès à usage unique n’est valide que pendant cinq minutes.
Otka propose à ses clients un certain nombre d’options pour l’authentification à deux et plusieurs facteurs. Les experts en cybersécurité s’accordent à dire que l’authentification par SMS vaut mieux que rien. Mais ils disent également que l’authentification basée sur les applications – comme Google Authenticator, Twilio’s Authy, Microsoft Authenticator ou Cisco Systems’ Duo – est plus sûre contre l’interception.
Cependant, la sécurité de toute solution dépend de l’ensemble de son processus. La preuve : Twilio a reconnu que lors de la campagne de hameçonnage d’août, les pirates ont accédé aux comptes de 93 utilisateurs individuels d’Authy. En utilisant cet accès, les pirates ont enregistré les appareils mobiles qu’ils possédaient sur ces comptes compromis, de sorte qu’ils ont pu recevoir tous les codes d’authentification à deux facteurs d’Authy envoyés jusqu’à ce que Twilio les coupe.
Adaptation et traduction française par Renaud Larue-Langlois.
