En Bref

• En août 2023, des pirates ont compromis Clorox en trompant un service d’assistance tiers pour réinitialiser des identifiants - aucun piratage technique requis.
• L’attaque a entraîné près de 380 millions de dollars de dommages, avec d’importantes perturbations commerciales et des coûts de remédiation.
• Les attaquants, liés au groupe Scattered Spider, ont utilisé l’ingénierie sociale - se faisant passer pour des employés bloqués au téléphone.
• Le vol d’identifiants et des processus de vérification faibles sont à l’origine de près de 45 % des violations majeures de données, selon le rapport Data Breach Investigations de Verizon.
• Les services d’assistance externalisés, s’ils sont mal gérés, peuvent devenir des cibles de grande valeur offrant aux attaquants un accès étendu à l’ensemble des organisations.

Quand une réinitialisation de mot de passe fait sauter la banque

Imaginez un coffre-fort de banque à haut risque dont la combinaison n’est pas déchiffrée par un maître voleur, mais remise par une réceptionniste sympathique après un appel téléphonique convaincant. C’est essentiellement ce qui est arrivé à Clorox en août dernier, lorsque des attaquants ont contourné des défenses sophistiquées et sont entrés par la grande porte - armés seulement de charme et d’un script.

Le groupe derrière l’attaque, connu sous le nom de Scattered Spider, n’a pas eu besoin de logiciels malveillants exotiques ni d’exploits zero-day. Ils ont simplement appelé le service d’assistance géré par Cognizant, prétendant être des employés de Clorox bloqués hors de leurs comptes. Sans contrôles appropriés, les agents du service ont réinitialisé à plusieurs reprises les mots de passe et les paramètres d’authentification multifacteur (MFA). Cela a permis aux attaquants d’escalader leurs privilèges, obtenant finalement un accès à l’ensemble du domaine et paralysant les opérations de Clorox.

Le facteur humain : le tour le plus coûteux de l’ingénierie sociale

Les attaques d’ingénierie sociale exploitent l’instinct humain - l’envie d’aider, la précipitation, et l’habitude. En recueillant des informations internes et en paraissant légitimes, les attaquants peuvent pousser le personnel de support en première ligne à contourner ou ignorer les règles de sécurité. Dans le cas de Clorox, des documents judiciaires allèguent que des agents ont sauté des étapes de vérification obligatoires, violant à la fois la procédure et le contrat. Résultat ? Les chaînes de production se sont arrêtées, les commandes ont été traitées à la main, les expéditions retardées, et la chaîne d’approvisionnement plongée dans le chaos.

Ce n’était pas la première fois : des attaques similaires ont ébranlé des géants comme MGM Resorts et Caesars Entertainment, tous deux victimes d’ingénierie sociale par téléphone en 2023. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a maintes fois averti que les services d’assistance externalisés sont des cibles de choix, car ils disposent souvent d’un accès étendu à l’ensemble de l’entreprise et sont submergés par un volume d’appels élevé - ce qui les rend enclins aux raccourcis et aux erreurs.

Sécuriser le service d’assistance : leçons tirées des conséquences

Pourquoi l’externalisation amplifie-t-elle le risque ? Les fournisseurs tiers peuvent contrôler des accès sensibles pour de nombreux clients, mais leurs processus peuvent accuser un retard face aux menaces les plus récentes. Une vérification faible, des scripts ambigus et une journalisation fragmentée offrent aux attaquants une tempête parfaite à exploiter. La faille Clorox met en lumière l’urgence de :

• Vérification d’identité robuste et hors bande - comme des rappels téléphoniques ou des défis cryptographiques au lieu de questions faciles à deviner.
• Approbation multipersonne pour les réinitialisations à haut risque et alertes en temps réel pour toute activité suspecte.
• Journalisation immuable et intégration avec des outils de surveillance de la sécurité pour détecter et contenir rapidement les attaques.
• Simulations régulières d’ingénierie sociale et normes contractuelles imposées aux fournisseurs, avec audits et rapports transparents.

En fin de compte, la technologie peut aider - mais le vrai défi est de bâtir une culture de vigilance. Dans un monde où un simple appel téléphonique peut coûter des centaines de millions, les organisations doivent traiter chaque réinitialisation de mot de passe comme une potentielle faille et chaque agent du service d’assistance comme la dernière ligne de défense.

WIKICROOK

• Ingénierie sociale : L’ingénierie sociale est l’utilisation de la tromperie par des pirates pour amener des personnes à révéler des informations confidentielles ou à fournir un accès non autorisé à des systèmes.
• Multi : Multi fait référence à l’utilisation combinée de différentes technologies ou systèmes - comme les satellites LEO et GEO - pour améliorer la fiabilité, la couverture et la sécurité.
• Out : La vérification hors bande confirme l’identité via un canal séparé, comme un appel téléphonique ou un SMS, pour renforcer la sécurité et empêcher l’accès non autorisé.
• Administrateur de domaine : Un administrateur de domaine est un compte hautement privilégié ayant un contrôle total sur le réseau informatique d’une organisation, rendant sa sécurité cruciale.
• Journal d’audit immuable : Un journal d’audit immuable est un enregistrement permanent et infalsifiable des actions, utilisé pour détecter, enquêter et prévenir toute activité suspecte ou non autorisée.