Devrait-on, pour l’authentification forte, privilégier les clés de sécurité physique aux codes à usage unique ? Cloudflare a procédé ainsi… et cela l’a probablement mieux protégé face à 0ktapus.
On a donné ce nom à une campagne de phishing classique dans son mode opératoire… mais singulière de par les victimes qu’elle a faites. Twilio, Mailchimp, Signal et DigitalOcean en font partie.
Twilio fut l’un des premiers à émettre une alerte publique. C’était début août. Les attaquants avaient accédé à sa console de support client, grâce à des identifiants SSO (Okta) et des codes MFA récupérés auprès d’employés. Ces derniers avaient cliqué sur un lien malveillant contenu dans un SMS. Généralement, l’objet était une expiration de mot de passe expiré ou une modification d’agenda.
L’accès à ladite console a permis de toucher une vingtaine de clients en aval. Parmi eux, Signal, qui utilise Twilio pour valider les numéros de téléphone de ses utilisateurs. Près de 2000 d’entre eux ont effectivement été affectés, estime l’application de messagerie. En récupérant leurs numéros et les SMS de vérification, les attaquants pouvaient tenter d’enregistrer leur compte sur d’autres appareils.
Du côté de Cloudflare, on admet que trois employés se sont fait piéger. Les premiers SMS leur sont parvenus le 20 juillet, en provenance de SIM T-Mobile.
Les pages de phishing sur lesquelles atterrissaient les employés imitaient le portail d’authentification Okta de leur entreprise. Les identifiants récoltés acheminés aux attaquants via Telegram. La campagne – en cours depuis au moins mars 2022 – aurait permis d’en exfiltrer près de 10 000, quasi intégralement en Amérique du Nord.
Chez Mailchimp, il s’est passé la même chose que chez Twilio. À savoir l’accès à des outils de support client. Avec deux conséquences principales. D’un côté, la fuite d’informations relatives essentiellement à des organisations du secteur financier et des cryptomonnaies. De l’autre, le détournement de comptes. DigitalOcean en a été victime.
L’hébergeur utilise Mailchimp pour, entre autres, transmettre les mails de réinitialisation de mot de passe. Les attaquants en ont profité pour effectuer cette procédure sans éveiller l’attention des utilisateurs.
Photo d’illustration © thodonal – Adobe Stock
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…