Cyberattaque de Twilio : un risque de réaction en chaîne préoccupant

Cloudflare, DoorDash, Signal, et des gestionnaires de mots de passe et de services d’authentification ont notamment été visés par ces attaques massives, déclenchant des réactions en chaîne.

L’attaque de phishing qui a visé Twilio, fournisseur de solutions de communications intégrées, début août, aurait finalement eu des conséquences pour 163 clients de l’entreprise. De plus, on apprend grâce à la société de sécurité Group-IB que cette campagne de phishing (surnommée « 0ktapus ») aurait infiltré 136 organisations, permettant aux pirates de voler les identifiants d’une dizaine de milliers de comptes durant les six derniers mois, majoritairement aux Etats-Unis. Une grande partie de ces organisations sont clientes du service d’identification d’Okta.

UN MODÈLE D’ATTAQUE DE LA SUPPLY CHAIN

Le gestionnaire de mots de passe LastPass, le spécialiste de l’authentification à deux facteurs Authy (propriété de Twilio), et la plateforme de livraison de repas à domicile DoorDash ont été victimes de fuites de données dans le cadre de cette campagne de phishing. Le fournisseur de services d’authentification Okta, déjà victime d’un vol de données en mars par – a priori – les mêmes pirates, la messagerie Signal et le CDN Cloudflare ont indiqué avoir été visées par le piratage de Twilio. De manière opportuniste ou planifiée, les pirates se sont servis des accès qu’ils ont récupérés pour affecter à leur tour des clients des entreprises piratées (« attaque de la supply chain »).

Cette attaque de phishing, qui a déjoué le système d’authentification à deux facteurs de Twilio, s’est appuyée sur l’obtention de numéros de téléphone privés d’employés et de leur famille, pour les inciter par SMS à se logger sur une fausse page d’identification Okta mise en ligne 40 minutes plus tôt seulement. Les systèmes n’ont pas eu le temps de détecter l’usurpation de nom de domaine.

En savoir plus