60 secondes, 76 employés et une plateforme d’identité en apparence anodine. Voici en résumé comment deux grandes entreprises se sont retrouvées victimes d’un hameçonnage.
En juin dernier, deux géants du cloud ont révélé avoir été visés par une attaque de phishing quasi identique. Cloudflare a indiqué que 76 de ses employés avaient reçu, en l’espace d’une minute, des SMS provenant d’un prétendu service informatique qui les dirigeaient vers un faux site web, les invitant à changer de mot de passe. En réalité, des dizaines d’entreprises ont été victimes de la même attaque – surnommée 0ktapus, car elle visait les fournisseurs de services cloud qui utilisent Okta pour l’authentification de leurs employés.
Ni les systèmes de Twilio ni ceux de Cloudflare n’ont détecté l’attaque, en raison de sa précision à reproduire la plateforme d’identification. Comme on pouvait s’y attendre, plusieurs employés ont été pris au dépourvu et ont partagé leurs identifiants. Toutefois, et contrairement à Twilio, l’histoire de Cloudflare a connu une fin moins tragique : les clés de sécurité FIDO, liées aux utilisateurs et mettant en œuvre la liaison d’origine, ont empêché tout partage d’identifiants.
Même si les conséquences ont été très différentes pour ces deux entreprises, les enseignements tirés restent les mêmes.
Sécurité par l’obscurité – OK boomer !
Un vieil adage du secteur IT dit que la sécurité par l’obscurité est le meilleur moyen de protéger une organisation. En théorie, ne pas révéler la façon dont les systèmes sont sécurisés, ni comment et quand ils sont attaqués, permet de mieux se protéger contre un hacker qui pourrait se servir de ces informations.
Cette approche est désuète, elle n’est pas adaptée aux cyberattaques actuelles, ni au monde numérique d’aujourd’hui. En laissant dans l’ombre le véritable état des systèmes de sécurité, nous ne faisons que créer une plus grande surface d’attaque pour les hackers.
Les attaques contre les entreprises de toutes tailles augmentent chaque année, avec les mots de passe étant indéniablement la plus grande cause de failles et de risques. A l’heure où le climat économique s’assombrit, nous ne pouvons pas continuer à adopter une approche cloisonnée pour lutter contre les cyberattaques, ou pour introduire la disparition des mots de passe.
La cybersécurité doit devenir une priorité absolue pour toutes les organisations, et seule une approche communautaire prônant la transparence et la collaboration permettra de surmonter les défis actuels.
Transparence et coopération
Les bénéfices de l’adoption de la MFA ont fait l’objet de nombreux débats et, bien que toutes les MFA ne soient pas égales, elles restent préférables à un mot de passe seul pour protéger un compte. Mais plusieurs entreprises hésitent encore à communiquer leurs chiffres sur l’instauration de ce dispositif.
L’été dernier, Twitter a ouvert la voie en révélant le taux d’adoption du système 2FA. Si les statistiques ne sont pas très réjouissantes – seulement 2,3 % des comptes ont activé le système 2FA, contre 80 % d’entre eux qui ont eu recours à la sauvegarde par SMS, le mode le moins sûr – le partage en lui-même mérite d’être salué.
Cette volonté de transparence est remarquable et constitue un puissant point de référence pour les éventuelles améliorations. Elle fait prendre conscience au secteur qu’un travail considérable doit être accompli pour que les utilisateurs adhèrent au dispositif, et que davantage de comptes soient protégés.
La transparence et la collaboration vont de pair. Trouver une réponse à un enjeu aussi complexe que celui des mots de passe et de la sécurité en ligne requiert des efforts conjoints de plusieurs acteurs et organisations. Twilio, Twitter et Cloudflare ont alimenté tous les trois cette notion de savoir commun, afin de définir les contours du défi, la manière de le relever et les actions à mettre en place.
Si la création et la mise en œuvre de nouvelles technologies constituent un élément essentiel pour éliminer les mots de passe, elles ne sont cependant pas la pièce maîtresse. L’engagement de l’ensemble du secteur à créer des parcours utilisateurs intuitifs et communs, étayés par les meilleures pratiques architecturales, permettra le changement de mentalité, indispensable pour réussir à supprimer les mots de passe de notre vie quotidienne.
Il est dans l’intérêt de chaque entreprise de faire du web un espace plus sûr et plus convivial. La collaboration et la transparence sont des ingrédients importants, mettant la barre plus haut pour tous, y compris pour les hackers, qui auront plus de mal à exécuter des attaques à distance.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));