Reddit sur sa violation de données : « L’humain est souvent le maillon le plus faible de la chaîne de sécurité »

Les experts en cybersécurité disent depuis longtemps que les attaquants n’ont besoin d’avoir de la chance qu’une seule fois, alors que les organisations doivent avoir de la chance à chaque fois qu’il y a une attaque.

La preuve de cette maxime a été démontrée dans l’explication par Reddit de sa récente violation de données.

Le 5 février, un attaquant inconnu a lancé ce que le site de discussion a appelé une « campagne d’hameçonnage sophistiquée ciblant les employés de Reddit. Comme dans la plupart des campagnes d’hameçonnage, l’attaquant a envoyé des invites plausibles pointant les employés vers un site Web qui a cloné le comportement de notre passerelle intranet, dans le but de voler des informations d’identification et des jetons de second facteur ».

« Après avoir réussi à obtenir les informations d’identification d’un seul employé, l’attaquant a eu accès à certains documents internes, à du code, ainsi qu’à certains tableaux de bord internes et systèmes d’entreprise. »

À la suite de l’incident, selon un communiqué, Reddit s’efforce de « renforcer » les compétences des employés en matière de sécurité. « Comme nous le savons tous, l’humain est souvent le maillon le plus faible de la chaîne de sécurité », ajoute le communiqué.

Au mérite de cet employé, cependant, il a signalé son erreur, permettant à l’équipe de sécurité de Reddit de supprimer rapidement l’accès du cybercriminel.

Rien ne prouve que les principaux systèmes de production du site – les élément qui exécutent Reddit et stockent la majorité de ses données – aient été consultés, selon le communiqué qui ajoute que les mots de passe et les comptes des utilisateurs Reddit sont sûrs.

Cependant, le site a admis que l’attaquant avait accédé à « certains documents internes, du code et certains systèmes commerciaux internes ».

Les données exposées comprenaient ce que la déclaration appelle « des informations de contact limitées pour (des centaines) de contacts et d’employés de l’entreprise (actuels et anciens), ainsi que des informations limitées sur les annonceurs. Sur la base de plusieurs jours d’enquête initiale par la sécurité, l’ingénierie et la science des données (et nos amis !), nous n’avons aucune preuve suggérant que l’une de vos données non publiques a été consultée, ou que les informations de Reddit ont été publiées ou distribuées en ligne ».

La déclaration exhorte également les utilisateurs de Reddit à activer l’authentification multifacteur pour protéger leurs identifiants de connexion et à utiliser un gestionnaire de mots de passe.

Johannes Ullrich, doyen de la recherche au SANS Technology Institute, a indiqué dans un courriel qu’il existe de nombreuses technologies pour détecter l’usurpation d’identité de site Web. « Par exemple, des entreprises comme Google ont investi beaucoup d’efforts pour nettoyer l’infrastructure TLS [qui crypte les données] afin de produire des certificats fiables confirmant l’identité des sites Web auxquels un navigateur se connecte et d’empêcher les attaques par interposition », a-t-il écrit. « Mais en même temps, peu de progrès ont été réalisés pour trouver de meilleurs moyens de communiquer aux utilisateurs avec quelle organisation ils interagissent. »

« Au lieu de compter sur les utilisateurs pour décider si un site Web est légitime ou non, nous devons tirer parti de schémas d’authentification résistants à l’hameçonnage comme FIDO2. Ces systèmes tirent parti des technologies existantes telles que TLS pour empêcher l’utilisation de secrets d’authentification sur différents sites. »

L’article original (en anglais) est disponible sur IT World canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Une commission scolaire du sud de l’Ontario reconnaît un « cyberincident »

L'une des plus grandes commissions scolaires publiques du sud de l'Ontario a reconnu publiquement une cyberattaque, plus d'un mois après sa détection.

Le coût des violations de données en hausse de 12 %, selon une enquête

L’inflation est en hausse pour toutes sortes de produits et services, y compris le coût d’une violation de données. Le coût médian d'une violation de données pour une organisation cette année était de 2,5 millions de dollars, selon une enquête d'EY, soit une augmentation de 12 % par rapport à l'année dernière.

Le ​​Centre pour la cybersécurité avertit encore une fois les entreprises canadiennes de ne pas ignorer la cybercriminalité

La principale agence de cybersécurité du Canada a une fois de plus mis en garde les responsables informatiques, les dirigeants d'entreprise et les résidents des risques s'ils ne sont pas préparés à la cybercriminalité.

Une division américaine de la CIBC semble avoir été victime du piratage de MOVEit

La division américaine d'une autre banque canadienne a apparemment été victime de la vulnérabilité du serveur de transfert de fichiers MOVEit.

D’anciens employés de Tesla ont volé les données de plus de 75 000 employés, selon l’entreprise

Plus de 75 000 employés et ex-employés du constructeur automobile Tesla ont été informés que leurs informations personnelles ont été volées lors d'une violation de données provenant de l’intérieur.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.