Le site Web de discussion populaire Reddit a prouvé cette semaine que sa sécurité n’était toujours pas à la hauteur lorsqu’il a révélé une autre faille de sécurité résultant d’une attaque qui a réussi à hameçonner les identifiants de connexion d’un employé.
Dans un poste publié jeudi, le directeur technique de Reddit, Chris “KeyserSosa” Slowe, a déclaré qu’après la violation du compte de l’employé, l’attaquant avait accédé au code source, aux documents internes, aux tableaux de bord internes, aux systèmes commerciaux et aux coordonnées de centaines d’employés de Reddit. Une enquête sur la violation au cours des derniers jours, a déclaré Slowe, n’a révélé aucune preuve que les principaux systèmes de production de l’entreprise ou que les données de mot de passe de l’utilisateur aient été consultées.
“À la fin (PST) du 5 février 2023, nous avons pris connaissance d’une campagne de phishing sophistiquée qui ciblait les employés de Reddit”, a écrit Slowe. “Comme dans la plupart des campagnes de phishing, l’attaquant a envoyé des invites plausibles pointant les employés vers un site Web qui a cloné le comportement de notre passerelle intranet, dans le but de voler des informations d’identification et des jetons de second facteur.”
Un seul employé est tombé dans l’escroquerie, et avec cela, Reddit a été piraté.
Ce n’est pas la première fois qu’une campagne de phishing d’informations d’identification réussie conduit à la violation du réseau de Reddit. En 2018, un attaque de phishing réussie sur un autre employé de Reddit a entraîné le vol d’une montagne de données utilisateur sensibles, y compris des données de mots de passe salés et hachés cryptographiquement, les noms d’utilisateur correspondants, les adresses e-mail et tout le contenu de l’utilisateur, y compris les messages privés.
Lors de cette violation antérieure, le compte de l’employé hameçonné était protégé par une forme faible d’authentification à deux facteurs (2FA) qui reposait sur des mots de passe à usage unique (OTP) envoyés dans un SMS. Les praticiens de la sécurité désapprouvent la 2FA basée sur SMS depuis des années car elle est vulnérable à plusieurs techniques d’attaque. L’un est ce qu’on appelle l’échange de cartes SIM, dans lequel les attaquants prennent le contrôle d’un numéro de téléphone ciblé en incitant l’opérateur de téléphonie mobile à le transférer. L’autre hameçonne l’OTP.
Lorsque les responsables de Reddit ont révélé la violation de 2018, ils ont déclaré que l’expérience leur avait appris que “l’authentification par SMS n’est pas aussi sécurisée que nous l’espérions” et, “Nous le soulignons pour encourager tout le monde ici à passer à la 2FA basée sur des jetons. ”
Avance rapide de quelques années et il est évident que Reddit n’a toujours pas appris les bonnes leçons sur la sécurisation des processus d’authentification des employés. Reddit n’a pas révélé le type de système 2FA qu’il utilise maintenant, mais l’admission que l’attaquant a réussi à voler les jetons de deuxième facteur de l’employé nous dit tout ce que nous devons savoir – que le site de discussion continue d’utiliser 2FA qui est terriblement sensible à attaques de phishing d’identifiants.
La raison de cette susceptibilité peut varier. Dans certains cas, les jetons sont basés sur des poussées que les employés reçoivent pendant le processus de connexion, généralement immédiatement après avoir saisi leurs mots de passe. Le push nécessite qu’un employé clique sur un lien ou sur un bouton “oui”. Lorsqu’un employé saisit le mot de passe sur un site de phishing, il s’attend à recevoir le push. Parce que le site semble authentique, l’employé n’a aucune raison de ne pas cliquer sur le lien ou le bouton.
Les OTP générés par une application d’authentification telle que Authy ou Google Authenticator sont également vulnérables. Le faux site hameçonne non seulement le mot de passe, mais aussi l’OTP. Un attaquant rapide ou un relais automatisé à l’autre bout du site Web entre rapidement les données dans le véritable portail des employés. Avec cela, l’entreprise ciblée est violée.
La meilleure forme de 2FA disponible est désormais conforme à une norme industrielle connue sous le nom de FIDO (Identité rapide en ligne). La norme autorise plusieurs formes de 2FA qui nécessitent un matériel physique, le plus souvent un téléphone, à proximité de l’appareil se connectant au compte. Étant donné que les hameçonneurs se connectant au compte de l’employé se trouvent à des kilomètres ou à des continents de l’appareil d’authentification, le 2FA échoue.
FIDO 2FA peut être encore renforcé si, en plus de prouver la possession de l’appareil inscrit, l’utilisateur doit également fournir un scan facial ou une empreinte digitale à l’appareil d’authentification. Cette mesure permet le 3FA (un mot de passe, la possession d’une clé physique et une empreinte digitale ou un scan facial). Étant donné que la biométrie ne quitte jamais le dispositif d’authentification (puisqu’elle repose sur l’empreinte digitale ou le lecteur de visage sur le téléphone), il n’y a aucun risque pour la vie privée de l’employé.
L’année dernière, le monde a reçu une étude de cas réelle sur le contraste entre 2FA avec OTP et FIDO. Les hameçonneurs d’informations d’identification ont utilisé un imposteur convaincant du portail des employés pour la plate-forme de communication Twilio et un relais en temps réel pour s’assurer que les informations d’identification ont été saisies sur le véritable site Twilio avant l’expiration de l’OTP (généralement, les OTP sont valides pendant une minute ou moins après leur ‘ re délivré). Après avoir trompé un ou plusieurs employés pour qu’ils saisissent leurs informations d’identification, les attaquants étaient à l’intérieur et ont volé des données utilisateur sensibles.
À peu près à la même époque, le réseau de diffusion de contenu Cloudflare était touché par la même campagne de phishing. Alors que trois employés ont été amenés à entrer leurs informations d’identification dans le faux portail Cloudflare, l’attaque a échoué pour une raison simple : plutôt que de s’appuyer sur les OTP pour 2FA, l’entreprise a utilisé FIDO.
Pour être juste envers Reddit, il ne manque pas d’organisations qui s’appuient sur 2FA et qui sont vulnérables au phishing d’informations d’identification. Mais comme déjà indiqué, Reddit a déjà emprunté cette voie. La société a juré de tirer les leçons de son intrusion en 2018, mais elle a clairement tiré la mauvaise leçon. La bonne leçon est la suivante : FIDO 2FA est immunisé contre le phishing d’informations d’identification. Les OTP et les push ne le sont pas.
Les représentants de Reddit n’ont pas répondu à un e-mail sollicitant des commentaires sur ce message.
Les personnes qui essaient de décider quel service utiliser et qui sont courtisées par les équipes de vente ou les publicités de plusieurs fournisseurs concurrents feraient bien de demander si les systèmes 2FA du fournisseur sont conformes à la norme FIDO. Toutes choses étant égales par ailleurs, le fournisseur utilisant FIDO pour prévenir les violations de réseau est sans conteste la meilleure option.