2024-01-11 06:47:42
L’équipe de sécurité de Twitter (je refuse d’appeler le site X parce que c’est le genre de nom complètement stupide qu’un enfant de neuf ans choisirait) a a répondu au piratage très médiatisé du compte Twitter de la SECqui a fait la une des journaux du monde entier.
Et qu’ont-ils à dire ?
Eh bien, en un mot : « ce n’est pas de notre faute ».
D’après notre enquête, la compromission n’était pas due à une violation des systèmes de X, mais plutôt au fait qu’un individu non identifié avait obtenu le contrôle d’un numéro de téléphone associé au compte @SECGov par l’intermédiaire d’un tiers. Nous pouvons également confirmer que l’authentification à deux facteurs n’était pas activée sur le compte au moment où le compte a été compromis.
Ce que dit @Safety, c’est que quelqu’un a détourné le contrôle du numéro de téléphone mobile associé au compte officiel de la SEC. Il s’agit, semble-t-il, d’une attaque par échange de carte SIM.
Une attaque par échange de carte SIM est l’occasion pour un escroc de tromper le personnel du service client d’un fournisseur de téléphonie mobile pour lui donner le contrôle du numéro de téléphone de quelqu’un d’autre. Parfois, cela se produit lorsqu’un fraudeur récite des informations personnelles sur sa cible à l’entreprise de télécommunications, la faisant croire qu’elle est quelqu’un qu’elle n’est pas.
Lorsqu’un service, tel que Twitter, envoie ultérieurement un lien de réinitialisation de mot de passe ou un jeton d’authentification au numéro de téléphone de l’utilisateur par SMS, il se retrouve entre les mains du criminel.
Parmi les victimes d’attaques par échange de carte SIM dans le passé figurent l’ancien patron de Twitter, Jack Dorsey, dont le compte Twitter a été piraté en 2019.
Et j’ai bien peur que Twitter permette de réinitialiser le mot de passe d’un compte simplement en connaissant et en ayant accès à un numéro de téléphone mobile.
L’autre révélation intéressante est que le compte Twitter officiel de la SEC n’avait pas activé l’authentification à deux facteurs (2FA). Il s’agit d’une fonctionnalité que je recommanderais à tous les utilisateurs d’activer, car elle fournit une couche de sécurité supplémentaire – et peut rendre plus difficile (bien que pas totalement impossible) l’accès des criminels à un compte.
Entendre que la Securities & Exchange Commission des États-Unis n’avait pas activé l’authentification multifacteur est franchement dingue.
Est-ce la même SEC qui est présidée par Gary Gensler, qui, lors du mois de sensibilisation à la cybersécurité en octobre, rappelé à tout le monde de l’importance de mettre en place une authentification multifacteur pour sécuriser leurs comptes ?
Hé, voici une idée pour le projet vaniteux de plusieurs milliards de dollars de Twitter/X/Elon (supprimer la mention inutile).
Pourquoi ne faites-vous pas une authentification à deux facteurs (de préférence pas par SMS, car il existe de meilleures formes de 2FA) obligatoire pour les comptes vérifiés et d’entreprise sur Twitter ?
#Twitter #dit #nest #pas #notre #faute #compte #SEC #été #piraté #Graham #Cluley
1704951798
