À l’intérieur du piratage Twitter et ce qui s’est passé ensuite

Mais l’une des premières choses que Twitter s’est rendu compte immédiatement après, c’est que trop de gens ont trop accès à trop de choses. “Il s’agit davantage de la confiance que vous accordez à chaque individu et du nombre de personnes dont vous jouissez d’une large confiance”, déclare Agrawal. «Le niveau d’accès, le montant de la confiance accordée aux personnes ayant accès à ces outils, est nettement inférieur aujourd’hui.»

L’un des plus grands changements mis en œuvre par l’entreprise est d’exiger que tous les employés utilisent l’authentification physique à deux facteurs. Twitter avait déjà commencé à distribuer des clés de sécurité physiques à ses employés avant le piratage, mais a accéléré le déploiement du programme. Dans quelques semaines, tout le monde sur Twitter, y compris les sous-traitants, disposera d’une clé de sécurité et devra l’utiliser. Ce changement s’inscrit bien dans un cadre suggéré par Stamos lors d’un appel avec WIRED. Il existe, dit-il, principalement trois façons d’authentifier quelqu’un: avec son nom d’utilisateur et son mot de passe, avec une authentification à deux facteurs et avec un appareil fourni par l’entreprise que vous pouvez tracer. «Pour la plupart des choses, vous devriez avoir deux de ces choses», dit-il. “Pour les choses critiques, vous devriez avoir les trois.”

À l’approche de l’élection présidentielle américaine, l’aspect le plus obsédant du piratage de Twitter reste à quel point il aurait pu être pire. L’enquête de Twitter a déterminé que les attaquants avaient accédé aux messages directs de 36 des 130 cibles. Ils ont téléchargé les informations «Vos données Twitter» pour huit victimes, qui incluent tous les tweet qu’ils ont envoyés, y compris les messages privés privés, quand et où elles se trouvaient à ce moment-là, et sur quels appareils elles utilisent Twitter. Un pirate plus intéressé par l’espionnage que la crypto-monnaie aimerait ce type d’accès.

Il y a aussi la possibilité d’une perturbation plus directe: une personne intéressée par le chaos électoral pourrait en causer beaucoup avec un tweet au bon moment du compte de Joe Biden. Ou avec quelque chose comme les opérations de piratage et de fuite que la Russie a réalisées en 2016 aux États-Unis et l’année suivante en France. Ou peut-être que quelqu’un combinera ces stratagèmes: pirater un compte, puis vider un référentiel d’informations volées, véridiques et confidentielles à partir du propre compte du compte. Comment Twitter gérerait-il cela?

Twitter navigue dans ces menaces sans un responsable de la sécurité; il n’en a pas eu depuis décembre. Pourtant, la société a prévu l’apocalypse. Entre le 1er mars et le 1er août, Twitter a répété les scénarios ci-dessus et plus encore dans une série d’exercices sur table, décrivant ses plans pour le moment où les choses se détraquent inévitablement, vérifiant et rationalisant les options afin que son équipe de sécurité ne soit pas coincée en aval sur un bateau de pêche. à la prochaine rupture du barrage. Et bien sûr, il faut également planifier le match, que se passe-t-il si la discorde sur la plate-forme n’est pas causée par un pirate informatique, mais plutôt par un politicien ou un président qui a juste envie de faire de la merde.

Le 15 juillet montre cependant que toutes les crises ne peuvent pas être répétées. Une façon de surmonter les limites de l’imagination est d’apporter des changements structurels. Outre les clés d’authentification physiques que Twitter exigera bientôt de ses propres employés, l’entreprise a renforcé son programme de formation interne. Les employés seront tous soumis à des vérifications approfondies des antécédents, et ils sont tous désormais tenus de suivre des cours sur la compréhension de la confidentialité et la prévention du phishing. Ce n’est pas clair, quant à lui, ce qui est arrivé aux employés qui ont succombé à l’arnaque en juillet. Pour protéger leur vie privée et en raison de l’enquête en cours du DOJ, l’entreprise ne dit pas qui ils sont. À ce jour, seule une poignée de personnes sur Twitter le savent.

L’entreprise a également regardé en dehors d’elle-même, imposant des exigences de mot de passe plus strictes aux utilisateurs à risque tels que les politiciens, les campagnes et les journalistes politiques. Il encourage, mais n’exige pas, ces comptes d’utilisateurs pour activer l’authentification à deux facteurs. On ne sait pas non plus dans quelle mesure Twitter intègre des garanties internes supplémentaires et pour quels comptes. «Si vous avez la possibilité d’une attaque interne, ce qu’ils font certainement et dont ils ont des exemples historiques, vous allez probablement vouloir une politique d’approbation à deux personnes», déclare Rachel Tobac, cofondatrice de SocialProof security, qui se concentre sur ingénierie sociale. Également connue sous le nom de principe des quatre yeux, cette étape signifierait qu’au moins deux employés devraient approuver les actions critiques; si Bob a été piraté, idéalement Sally ne l’a pas fait.

Voir aussi :

septembre 26, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

  S'abonner  
Me notifier de
Culte du code | 2015-2020  (Vecteurs par Freepik, Parallax par fullvector)