Les experts en cybersécurité disent depuis longtemps que les attaquants n’ont besoin d’avoir de la chance qu’une seule fois, alors que les organisations doivent avoir de la chance à chaque fois qu’il y a une attaque.
La preuve de cette maxime a été démontrée dans l’explication par Reddit de sa récente violation de données.
Le 5 février, un attaquant inconnu a lancé ce que le site de discussion a appelé une « campagne d’hameçonnage sophistiquée ciblant les employés de Reddit. Comme dans la plupart des campagnes d’hameçonnage, l’attaquant a envoyé des invites plausibles pointant les employés vers un site Web qui a cloné le comportement de notre passerelle intranet, dans le but de voler des informations d’identification et des jetons de second facteur ».
« Après avoir réussi à obtenir les informations d’identification d’un seul employé, l’attaquant a eu accès à certains documents internes, à du code, ainsi qu’à certains tableaux de bord internes et systèmes d’entreprise. »
À la suite de l’incident, selon un communiqué, Reddit s’efforce de « renforcer » les compétences des employés en matière de sécurité. « Comme nous le savons tous, l’humain est souvent le maillon le plus faible de la chaîne de sécurité », ajoute le communiqué.
Au mérite de cet employé, cependant, il a signalé son erreur, permettant à l’équipe de sécurité de Reddit de supprimer rapidement l’accès du cybercriminel.
Rien ne prouve que les principaux systèmes de production du site – les élément qui exécutent Reddit et stockent la majorité de ses données – aient été consultés, selon le communiqué qui ajoute que les mots de passe et les comptes des utilisateurs Reddit sont sûrs.
Cependant, le site a admis que l’attaquant avait accédé à « certains documents internes, du code et certains systèmes commerciaux internes ».
Les données exposées comprenaient ce que la déclaration appelle « des informations de contact limitées pour (des centaines) de contacts et d’employés de l’entreprise (actuels et anciens), ainsi que des informations limitées sur les annonceurs. Sur la base de plusieurs jours d’enquête initiale par la sécurité, l’ingénierie et la science des données (et nos amis !), nous n’avons aucune preuve suggérant que l’une de vos données non publiques a été consultée, ou que les informations de Reddit ont été publiées ou distribuées en ligne ».
La déclaration exhorte également les utilisateurs de Reddit à activer l’authentification multifacteur pour protéger leurs identifiants de connexion et à utiliser un gestionnaire de mots de passe.
Johannes Ullrich, doyen de la recherche au SANS Technology Institute, a indiqué dans un courriel qu’il existe de nombreuses technologies pour détecter l’usurpation d’identité de site Web. « Par exemple, des entreprises comme Google ont investi beaucoup d’efforts pour nettoyer l’infrastructure TLS [qui crypte les données] afin de produire des certificats fiables confirmant l’identité des sites Web auxquels un navigateur se connecte et d’empêcher les attaques par interposition », a-t-il écrit. « Mais en même temps, peu de progrès ont été réalisés pour trouver de meilleurs moyens de communiquer aux utilisateurs avec quelle organisation ils interagissent. »
« Au lieu de compter sur les utilisateurs pour décider si un site Web est légitime ou non, nous devons tirer parti de schémas d’authentification résistants à l’hameçonnage comme FIDO2. Ces systèmes tirent parti des technologies existantes telles que TLS pour empêcher l’utilisation de secrets d’authentification sur différents sites. »
Adaptation et traduction française par Renaud Larue-Langlois.