Résumé
- La défaillance de contrôle était plus vaste que le vol.Les attaquants ont utilisé l’ingénierie sociale par téléphone pour obtenir les identifiants des employés, apprendre les processus internes, accéder à des employés disposant d’un accès au support des comptes, et utiliser les propres outils de Twitter contre 130 comptes. Twitter a déclaré que des tweets avaient été envoyés depuis 45 comptes, les boîtes de réception des messages directs accessibles pour 36, et les archives de compte téléchargées pour 7. Il s’agit d’actions et de populations affectées distinctes, pas de définitions interchangeables de la compromission.
- L’outil administratif était une dépendance de la communication publique.Il pouvait prendre en charge les réinitialisations de mot de passe, modifier l’état du compte, exposer les informations de contact et de connexion, et aider à transférer le contrôle d’un propriétaire légitime. Une fois cette autorité détournée, un badge de compte authentique, la liste des abonnés et l’historique des publications devenaient une infrastructure de distribution pour la revendication de quelqu’un d’autre. La mesure de confinement de Twitter a alors empêché de nombreux comptes vérifiés légitimes de tweeter ou de changer de mot de passe, y compris des institutions publiques tentant de communiquer.
- L’escroquerie visible était financièrement modeste mais révélatrice sur le plan opérationnel.Le New York State Department of Financial Services a évalué les bitcoins dérobés à environ 118 000 $. Ses entreprises régulées ont signalé avoir bloqué des tentatives de transfert d’une valeur d’environ 1,347 million de dollars, tandis qu’une poignée de leurs clients ont perdu environ 22 000 $ avant que les blocages n’entrent en vigueur. Le contraste montre à quelle vitesse les contrôles en aval ont dû compenser une défaillance de confiance créée en amont.
- La responsabilité est concomitante, pas égale.Les contrevenants contrôlaient la tromperie, l’accès non autorisé, la vente de comptes, les messages frauduleux et le vol. Twitter contrôlait l’étendue de l’autorité de support, l’authentification, la recertification des accès, la surveillance, les approbations à haut risque, le confinement, la récupération et la communication publique. Les détenteurs de comptes et les plateformes financières pouvaient réduire les pertes en aval, mais ils ne pouvaient pas concevoir ni auditer la console interne de Twitter.
- Les archives publiques confirment avec un degré élevé de confiance le déroulement et l’impact de l’attaque, mais pas une reconstruction médico-légale complète.Le NYDFS, Twitter, les plaintes pénales, les plaidoyers de culpabilité ultérieurs, les analyses de la blockchain et les documents d’entreprise convergent sur la séquence principale. Ils ne divulguent pas la trace complète d’authentification, chaque action privilégiée, les permissions précises de chaque employé compromis, toutes les preuves de session, les alertes de détection ni les preuves de clôture indépendantes pour chaque mesure corrective.
La surface de récupération faisait partie de la place publique
Un réseau social ressemble de l’extérieur à un service de publication. Une personne se connecte, écrit un message et le distribue à ses abonnés. Derrière cette action simple se cache un service plus puissant que les utilisateurs ordinaires ne voient jamais: le mécanisme de récupération des comptes, de changement des adresses e-mail associées, de réinitialisation des mots de passe, de désactivation de l’authentification multifacteur, d’enquête sur les abus, d’application des règles, de réponse aux demandes légales et de rétablissement de l’accès lorsqu’un propriétaire légitime est bloqué.
Ce mécanisme est nécessaire. Les gens perdent leurs appareils, les entreprises changent de personnel et des comptes sont suspendus par erreur. Pourtant, chaque capacité de récupération est aussi un système d’authentification alternatif. Un employé qui décide qu’un demandeur a droit à un compte exerce une autorité d’identité, pas seulement un service client.
L’enquête du New York State Department of Financial Servicesdécrit les outils internes de Twitter comme exposant des informations non publiques sur les comptes, notamment l’adresse e-mail associée, le numéro de téléphone et l’adresse IP de connexion. Les employés autorisés pouvaient les utiliser pour mettre à jour les adresses e-mail, réinitialiser les mots de passe et activer ou désactiver l’authentification multifacteur. Certains outils prenaient également en charge l’application des règles de contenu et les réponses aux demandes légales. C’était une surface combinée pour l’identité, la vie privée, la parole et la conformité institutionnelle.
Le 15 juillet 2020, cette surface interne est devenue un moyen de parler en tant que Barack Obama, Joe Biden, Elon Musk, Bill Gates, Apple, Uber, des plateformes d’échange de cryptomonnaies et d’autres titulaires de comptes de premier plan. La fraude n’a pas eu besoin de se constituer une audience ni d’imiter un compte à partir de zéro. Elle a hérité du nom, de l’historique, du signal de vérification et des abonnés du compte réel. La propre représentation d’authenticité du service a fourni la couche persuasive.
Le faible montant dérobé peut donc induire en erreur. Environ 118 000 $ sont importants pour les personnes qui les ont perdus, mais ce n’est pas le plafond de l’événement. C’est le résultat produit par un groupe, avec une escroquerie précipitée, pendant un après-midi avant le confinement. L’accès administratif à un service de communication mondial avait une valeur d’option bien plus grande. Il aurait pu être utilisé pour publier une fausse information d’entreprise, manipuler le cours d’un titre, fabriquer un message de sécurité publique, supprimer un compte légitime pendant une crise, divulguer des communications privées ou injecter une revendication politique en période électorale.
Ces scénarios contrefactuels ne doivent pas être transformés en affirmations selon lesquelles de tels préjudices se sont produits. Ils expliquent pourquoi la conception du contrôle doit être proportionnelle à l’autorité plutôt qu’à la valeur dérobée dans le cas observé. La Securities and Exchange Commission avertit depuis longtemps que les fausses réclamations peuvent être diffusées via les médias sociaux dans des schémas de manipulation des investissements, y compris lespromotions de type « pump-and-dump » sur Twitter. Le NYDFS a également cité la prise de contrôle du compte de l’Associated Press en 2013, après laquelle un faux tweet d’explosion à la Maison Blanche a été suivi d’une perte rapide et temporaire de valeur de marché. Twitter n’hébergeait pas seulement des conversations. Il véhiculait des déclarations sur lesquelles les systèmes automatisés, les investisseurs, les journalistes, les responsables et le public pouvaient agir.
Une attaque d’un jour a eu trois phases commerciales
La reconstruction publique la plus claire est le rapport du NYDFS d’octobre 2020, étayé par des assignations, des entretiens, des documents et une enquête auprès des entreprises de cryptomonnaies régulées. La propremise à jour de l’incident de sécurité de Twitterfournit les chiffres et la caractérisation de l’entreprise. Les dépôts criminels ajoutent des preuves sur la vente de comptes et la piste Bitcoin, mais les allégations dans une plainte doivent rester des allégations à moins d’être admises ou prouvées ultérieurement.
L’événement ne se résumait pas à un « piratage » indifférencié. Il s’agissait d’une séquence dans laquelle un type d’accès rendait le suivant moins coûteux.
| Heure de l’Est | Événement | Signification en matière de responsabilité |
|---|---|---|
| 14 juillet, après-midi | Des appelants ont contacté plusieurs employés de Twitter en se faisant passer pour le support informatique de l’entreprise et en évoquant des problèmes de VPN. | Un problème familier de télétravail a rendu le prétexte plausible. La confiance dans un processus de support interne est devenue la surface d’entrée. |
| 14-15 juillet | Les employés ont été dirigés vers une page VPN factice. Les attaquants ont saisi les identifiants capturés sur le vrai service, générant des demandes d’approbation multifacteur que certains employés ont acceptées. | Le mot de passe et l’approbation push ont été déjoués ensemble par un relais en direct. L’authentification multifacteur existait, mais la transaction ne résistait pas à l’usurpation du vérificateur. |
| 15 juillet, premières heures | L’accès initial des employés a été utilisé pour parcourir les sites internes et apprendre comment les autres applications et processus de support de compte fonctionnaient. | La première identité compromise n’avait apparemment pas l’autorisation finale de gestion des comptes. La connaissance interne a réduit le coût de sélection d’une cible plus privilégiée. |
| 15 juillet, environ 3 h 00 – 10 h 00 | Les entités ont discuté de la prise et de la vente de noms de compte courts ou « OG » désirables. | Le premier modèle de monétisation était le transfert de compte en gros, pas la fraude de masse. Un marché pour les pseudos rares donnait à l’accès administratif une valeur de revente immédiate. |
| Juste avant 14 h 00 | Des comptes OG piratés ont publié des images d’un outil interne. | La preuve publique de l’accès privilégié a fait la publicité de la capacité et a exposé des informations opérationnelles pendant l’incident. |
| À partir de 14 h 16 | Le compte d’un trader en cryptomonnaies a été utilisé pour des messages directs sollicitant des bitcoins. | La sensibilisation privée a testé l’autorité dérobée avant la campagne publique générale. |
| 15 h 18 | Les prises de contrôle des entreprises de cryptomonnaies ont commencé. Les intervenants de Twitter enquêtaient déjà sur les appels et connexions suspects. | Un avertissement interne existait avant ou pendant la phase publique, mais les attaquants ont conservé suffisamment d’autorité pour escalader. |
| 15 h 26 – 16 h 12 | Dix comptes liés aux cryptomonnaies ont été piratés avec des variantes de l’offre de doublement. | La répétition sur des comptes authentiques a créé une apparente corroboration et a élargi l’audience. |
| 16 h 17 – 18 h 05 | Des comptes politiques, technologiques, de divertissement et d’affaires de premier plan ont envoyé des messages frauduleux, certains à plusieurs reprises. | La campagne est passée d’un marché de niche des comptes à un abus mondial de la confiance institutionnelle et personnelle. |
| 17 h 45 | Twitter a publiquement reconnu un incident de sécurité. | La première reconnaissance large de la plateforme est intervenue plus de deux heures après le début de la phase des comptes cryptos. |
| À partir de 18 h 18 | Twitter a restreint de nombreux comptes vérifiés de tweeter ou de changer de mot de passe et a verrouillé certains comptes récemment modifiés. | Le confinement a réduit la capacité des attaquants en supprimant également la capacité de communication légitime. |
| 18 h 59 | Le NYDFS a ordonné aux entreprises de cryptomonnaies régulées de bloquer les adresses publiées si elles ne l’avaient pas déjà fait. | Un régulateur sectoriel et les intermédiaires financiers sont devenus partie prenante de la boucle de contrôle de l’incident de la plateforme sociale. |
| 20 h 41 | Twitter a déclaré que la plupart des comptes pouvaient recommencer à tweeter, bien que la fonction puisse être inconstante. | La publication générale est revenue avant que toutes les conséquences médico-légales et de support de compte ne soient résolues. |
La séquence rejette une histoire inexacte: un employé avec un accès universel a été dupé une fois, puis les comptes de célébrités ont immédiatement publié une escroquerie. Le NYDFS a constaté que le premier employé compromis n’avait pas l’accès de gestion de compte requis. Les intrus ont utilisé ce point d’appui pour apprendre les processus internes, puis ont ciblé des employés ayant un accès plus pertinent. Twitter a également déclaré que le personnel initialement ciblé n’avait pas tous la permission de gestion de compte.
C’est un mouvement latéral à travers la connaissance organisationnelle. La documentation interne, les noms d’application, les descriptions de rôles et les procédures de support peuvent devenir des données d’activation de privilèges même lorsque la première identité ne peut pas exécuter l’action finale. Le moindre privilège a ralenti les attaquants, mais ne les a pas contenus parce que l’identité initiale pouvait encore atteindre des informations utiles pour sélectionner et tromper la personne suivante.
La tromperie des employés, l’accès aux outils, la prise de contrôle et la fraude sont des événements différents
Une bonne responsabilité commence par les verbes. Quatre choses différentes se sont produites, chacune avec un propriétaire de contrôle et une piste de preuves différente.
Premièrement, les employés ont été victimes d’ingénierie sociale.Le NYDFS a constaté que les appelants se faisaient passer pour le service informatique interne, évoquaient des problèmes VPN courants en télétravail, utilisaient des informations personnelles pour paraître crédibles et dirigeaient les employés vers une page de connexion factice. Le rapport n’a trouvé aucune preuve que les employés aient aidé en connaissance de cause. Qualifier cela de « boulot interne » contredirait cette constatation. Ne l’appeler qu’une « erreur humaine » ignorerait le système qui a rendu un appel entrant, un identifiant réutilisable et une approbation push suffisants pour l’entrée réseau.
Deuxièmement, les identités des employés ont atteint les systèmes internes.Les comptes initiaux ont fourni une voie vers les informations intranet. Les identifiants compromis ultérieurement ont donné accès aux outils de support de compte. L’accès à un réseau interne n’est pas la même chose que l’accès à toutes les fonctions administratives, et ni l’un ni l’autre n’équivaut à la propriété d’un compte utilisateur. Cette distinction est essentielle lors de l’évaluation de la segmentation des accès.
Troisièmement, l’autorité de support a été utilisée pour transférer ou exercer le contrôle des comptes.Pour 45 comptes, Twitter a déclaré que les attaquants pouvaient initier des réinitialisations de mot de passe, se connecter et tweeter. Laplainte pénale fédérale et l’affidavit à l’appui contre Nima Fazelialléguaient un marché dans lequel un acteur démontrait l’accès au panneau interne et utilisait des intermédiaires pour vendre le contrôle de noms d’utilisateur désirables. Les procédures ultérieures impliquant Joseph O’Connor ont décrit l’achat d’un accès non autorisé à des comptes et le transfert de comptes de propriétaires légitimes. C’était du vol d’identité en tant que service, avec l’outillage interne comme inventaire.
Quatrièmement, certains comptes contrôlés ont distribué la fraude.Une fausse promesse offrait de retourner le double des bitcoins envoyés. Le compte était authentique; la proposition ne l’était pas. Les tweets frauduleux exploitaient l’écart entre l’authenticité de la source et l’authenticité du message. Un badge vérifié pouvait indiquer que Twitter avait associé un compte à une personne ou organisation publique. Il ne pouvait pas prouver que le propriétaire autorisé avait composé un message particulier après que le système d’identité interne ait été subverti.
Les quatre étapes impliquent quatre tests de contrôle distincts:
- Un appelant pouvait-il imiter de manière convaincante le support informatique et relayer une connexion d’employé?
- Que pouvait apprendre ou atteindre une identité d’employé nouvellement authentifiée?
- Quelles preuves et approbations supplémentaires étaient nécessaires pour changer le contrôle d’un compte à fort impact?
- Quelle détection d’anomalie ou friction de transaction s’appliquait lorsque de nombreux comptes de premier plan changeaient d’état et publiaient des sollicitations financières similaires?
La formation est pertinente pour la première question. Elle n’est pas une réponse complète aux trois autres.
Les chiffres de l’incident mesurent différents types de préjudices
Les chiffres publics définitifs de Twitter étaient 130 comptes ciblés, tweets envoyés depuis 45, boîtes de réception de messages directs consultées pour 36, et données Twitter téléchargées pour 7. Les rapports antérieurs de l’entreprise faisaient état de jusqu’à huit téléchargements; la mise à jour ultérieure a révisé le nombre à sept. Le NYDFS a signalé que l’outil interne aurait généré des demandes de données pour 52 autres comptes pour lesquels les données n’ont pas été téléchargées.
Ces chiffres ne doivent pas être additionnés, car les groupes peuvent se recouper. Ni décrire 130 comme 130 comptes utilisés dans l’escroquerie Bitcoin. « Ciblé » ou « compromis » au niveau large de l’incident incluait plus que la publication publique. Les preuves disponibles soutiennent plusieurs classes de préjudices:
| Classe de préjudice | Preuve publique | Ce qu’elle n’établit pas |
|---|---|---|
| Perte de contrôle du compte | L’état du compte a été modifié pour un sous-ensemble, et 45 comptes ont été utilisés pour tweeter. | La durée exacte, la séquence d’actions et le coût de récupération pour chaque compte. |
| Prise de parole publique non autorisée | Des messages frauduleux ont été envoyés depuis des comptes authentiques, certains plusieurs fois. | Que chaque abonné ait vu, cru ou agi sur un message. |
| Exposition des messages privés | Twitter a déclaré que les boîtes de réception ont été consultées pour 36 comptes. | Quels messages individuels ont été lus, copiés, photographiés ou conservés, en l’absence de journaux complets et de preuves des attaquants. |
| Extraction d’archive de compte | Sept archives de données de compte ont été téléchargées; aucune n’appartenait à des comptes vérifiés. | Que chaque champ dans chaque archive ait été utilisé ou divulgué ultérieurement. |
| Exposition par l’outil de support non public | Les vues internes incluaient les informations de contact et de connexion du compte. | L’ensemble complet des champs consultés pour chaque compte ciblé ou si des captures d’écran les ont capturés. |
| Perte financière directe | Le NYDFS a évalué le total des bitcoins dérobés à environ 118 000 $; les entreprises régulées ont signalé environ 22 000 $ de pertes clients avant leurs blocages. | L’identité et les circonstances de chaque expéditeur, si l’auto-financement des attaquants a gonflé les recettes brutes, ou la récupération finale pour chaque victime. |
| Restriction de service | De nombreux comptes vérifiés n’ont pas pu tweeter ou changer de mot de passe pendant le confinement; le support des comptes a ralenti par la suite. | Une liste mondiale complète des messages publics retardés ou la valeur économique de chaque interruption. |
| Perte de confiance et de réputation | Le rapport annuel de Twitter a reconnu une perte possible de confiance, une exposition réglementaire et un préjudice aux comptes affectés. | Un montant causal précis attribuable uniquement à cet incident. |
La distinction entre l’accès à la boîte de réception et le téléchargement d’archive est particulièrement importante. Une boîte de réception de messages directs peut être consultée à l’intérieur d’un compte. Une archive de données est un paquet généré contenant une collection beaucoup plus large d’informations sur le compte. Le NYDFS a décrit le contenu de l’archive comme incluant potentiellement les informations de profil, les tweets, les messages et les médias attachés, les listes d’abonnés et d’abonnements, les données du carnet d’adresses, les données démographiques inférées et les informations d’interaction publicitaire. Une demande n’était pas un téléchargement, et un téléchargement n’était pas une preuve que chaque enregistrement inclus a été exploité.
Twitter a déclaré avoir communiqué directement avec les titulaires de comptes affectés et rétabli l’accès aux personnes bloquées. Sonformulaire 10-K 2020a reconnu que les communications non autorisées de comptes compromis pouvaient nuire à la sécurité personnelle, à la réputation et aux marques, et que l’événement de juillet pouvait créer des conséquences juridiques, financières et de confiance. Une divulgation des risques en valeurs mobilières n’est pas une constatation médico-légale indépendante. Elle est utile parce qu’elle montre que l’entreprise elle-même a reconnu des préjudices au-delà de l’adresse de réception Bitcoin.
L’économie des contacts abusifs favorisait l’appelant
L’attaque illustre l’économie des contacts abusifs de manière précise. Une organisation de support est conçue pour réduire la friction pour les personnes légitimes. Elle centralise l’expertise, donne des outils au personnel, documente les procédures et mesure si les cas sont résolus. Ces caractéristiques réduisent le coût du service. Elles peuvent également réduire le coût marginal de l’abus si un attaquant peut initier à moindre coût des contacts répétés, collecter des informations à partir d’échecs partiels et finalement atteindre une personne dont la décision porte une grande autorité.
Les attaquants n’avaient pas besoin d’une vulnérabilité logicielle inconnue. Ils avaient besoin de préparation, de discours convaincant, d’un site factice, de détails sur les employés et de suffisamment de tentatives. Un appel raté coûtait peu. Un appel réussi produisait un identifiant. Un identifiant sans privilège final produisait quand même une reconnaissance interne. La reconnaissance identifiait un autre employé. Un chemin réussi vers l’outil de support a ensuite soutenu de nombreuses prises de contrôle de comptes et plusieurs stratégies de monétisation.
Cela crée une asymétrie sévère:
- l’attaquant peut appeler de nombreuses personnes, tandis que chaque employé vit une interaction de support apparemment ordinaire;
- l’attaquant apprend des refus, alors que les employés peuvent ne pas voir que les appels forment une seule campagne;
- l’appelant choisit le moment et le prétexte, tandis que l’employé peut être en train de traiter un vrai problème de télétravail;
- l’entreprise supporte le coût total des faux positifs si elle rend chaque cas de support légitime lent;
- une approbation erronée peut créer un accès valant bien plus que le coût de tous les appels échoués;
- la perte en aval est répartie entre les titulaires de comptes, les destinataires des messages, les entreprises financières, les institutions publiques, les intervenants et la plateforme.
Le support devait quand même fonctionner. Twitter devait changer le rapport de force. La récupération à haut risque devrait exiger des preuves qui ne peuvent pas être récoltées à partir de profils publics ou obtenues lors du même appel. Une identité récupérée ne devrait pas recevoir immédiatement tous les privilèges antérieurs. Les changements sensibles devraient générer une notification indépendante et, pour les comptes au plus fort impact, une autorisation par une deuxième personne ou un délai. Les tentatives répétées devraient être corrélées entre les employés.
La même logique s’applique après un incident. La restriction des outils a réduit les opportunités des attaquants mais a ralenti Twitter pour répondre aux demandes légitimes de support, de signalement d’abus et de développeurs. La friction de sécurité a été réintroduite en masse parce qu’elle n’avait pas été appliquée de manière assez sélective avant la compromission. Le coût est passé de l’action risquée à chaque utilisateur attendant de l’aide.
Une petite escroquerie a produit un flux de paiement tenté plus important
Les enregistrements de la blockchain rendent une partie de l’événement inhabituellement visible. L’analyse de Chainalysis une semaine plus tarda révélé que trois adresses annoncées avaient reçu 13,14 bitcoins, d’une valeur d’environ 120 000 $ à l’époque. Elle a également estimé qu’environ 20 000 $ provenaient d’une adresse suspecte probablement contrôlée par les attaquants, une façon courante de faire paraître une escroquerie active. Cette analyse signifie que les recettes brutes ne sont pas nécessairement identiques à la perte des victimes. Le NYDFS a utilisé environ 118 000 $ comme montant dérobé.
La plainte fédérale a décrit des centaines de transferts entrants vers l’adresse principale et un mouvement rapide de sortie. La blockchain publique a rendu la destination et le mouvement observables, mais l’attribution nécessitait toujours un travail d’enquête, des enregistrements de service, des communications et une procédure judiciaire. « Traçable » ne signifiait pas automatiquement réversible. Les transferts de bitcoins, une fois confirmés, n’offraient pas la voie de rétrofacturation disponible dans certains systèmes de paiement grand public.
L’enquête du NYDFS offre une comparaison plus révélatrice. Quatre entreprises régulées ont signalé avoir activement bloqué environ 1,347 million de dollars de tentatives de transfert des clients vers les adresses de l’escroquerie:
- Coinbase a bloqué environ 5 670 transferts tentés d’une valeur d’environ 1,294 million de dollars.
- Square a bloqué 358 transferts d’une valeur d’environ 51 000 $.
- Gemini en a bloqué deux pour environ 1 800 $.
- Bitstamp en a bloqué un pour environ 250 $.
Gemini, Square et Coinbase ont déclaré au régulateur qu’une poignée de clients avaient transféré environ 22 000 $ avant que les blocages n’entrent en vigueur. Le NYDFS a décrit ces pertes comme les seules pertes de clients signalées parmi les entreprises régulées interrogées. Ces valeurs ne constituent pas un registre mondial complet des victimes, et le total bloqué n’est pas de l’argent dérobé. Il s’agit de sorties tentées empêchées signalées par des entreprises particulières.
Les chiffres révèlent une chaîne de dépendance. Twitter contrôlait si un compte de confiance pouvait distribuer l’adresse frauduleuse. Les entreprises de cryptomonnaies contrôlaient si un client de leur service pouvait envoyer vers cette adresse une fois qu’elle était reconnue. Les clients contrôlaient l’initiation du paiement, mais faisaient ce choix sous un signal de source délibérément falsifié. Le NYDFS contrôlait la communication de supervision avec ses entreprises régulées. Les forces de l’ordre et les sociétés d’analyse ont aidé à étiqueter et tracer les adresses.
Les entreprises n’ont pas réparé Twitter. Elles ont compensé à un autre niveau en appliquant des renseignements sur les destinations et des contrôles de transaction. Un intermédiaire financier qui pouvait voir une adresse frauduleuse connue avait un rôle à jouer pour la bloquer, mais ne contrôlait pas la conception des accès de Twitter. Un utilisateur devrait douter d’une offre de doublement, mais ne contrôlait pas le compte authentique d’où elle paraissait provenir. Les devoirs concurrents n’effacent pas la partie qui avait le contrôle exclusif sur la capacité défaillante.
Le confinement a neutralisé les intervenants légitimes
Twitter a été confronté à un problème de réponse aux incidents difficile. Il ne savait pas au début quelles sessions ou outils d’employés pouvaient être fiables. Continuer le fonctionnement normal risquait d’autres prises de contrôle. Restreindre l’accès entraverait les personnes qui tentaient d’enquêter et de restaurer le service. L’entreprise a choisi des contrôles larges: elle a révoqué ou limité l’accès des employés aux systèmes internes, restreint de nombreux comptes vérifiés de tweeter ou de changer de mot de passe, et verrouillé les comptes avec des changements récents de mot de passe.
Cette décision était défendable en tant que confinement. C’était aussi une interruption de service. Le NYDFS a signalé que les institutions publiques ne pouvaient pas accéder à leurs comptes, y compris son propre compte.La reconstruction par WIRED de la réponse de Twittera rapporté que le National Weather Service n’a pas pu envoyer un avis de tornade via son compte.
C’est la dépendance au service cloud au cœur de l’affaire. Une organisation peut écrire son propre message et contrôler son propre personnel, mais si elle s’appuie sur une plateforme sociale hébergée pour atteindre le public, sa capacité à publier dépend des contrôles d’identité et d’incident du fournisseur. Le client ne peut pas basculer les abonnés, l’historique et le contexte de vérification d’un compte vers un second fournisseur en quelques minutes. Un site Web de secours, une liste de diffusion, un service d’alerte ou un second canal social peuvent transporter des informations, mais pas nécessairement vers le même public ou avec la même preuve sociale.
Le compromis du confinement devrait donc être traité comme une exigence de continuité, pas seulement une décision de sécurité. Une plateforme qui transporte des communications de sécurité publique et institutionnelles devrait pouvoir répondre à au moins quatre questions avant un incident:
- Les actions administratives à haut risque peuvent-elles être suspendues sans réduire au silence tous les éditeurs de confiance?
- Les comptes d’urgence ou d’intérêt public peuvent-ils continuer via un chemin protégé séparément?
- La plateforme peut-elle communiquer l’état de l’incident via un canal contrôlé indépendamment si son propre compte et ses identités d’employés sont suspects?
- Les institutions peuvent-elles rediriger les audiences vers un repli authentifié établi avant la crise?
Il n’y aura peut-être pas de réponse parfaite pendant qu’un plan d’identité privilégiée n’est pas digne de confiance. C’est pourquoi son périmètre est important. Lorsqu’une surface administrative unique peut récupérer des comptes et forcer une large restriction de la parole pendant le confinement, la conception des outils de support devient une conception de résilience.
Twitter a déclaré que les restrictions d’accès avaient également ralenti le support de compte, le traitement des tweets signalés et les applications de la plateforme de développeurs. La récupération ne s’est pas terminée lorsque les tweets frauduleux se sont arrêtés. Chaque cas légitime retardé faisait partie du coût opérationnel. Certains retards étaient le prix d’un confinement sûr; d’autres étaient la conséquence de concentrer de nombreuses fonctions derrière un accès auquel les intervenants ne pouvaient plus faire confiance.
La vérification authentifiait le compte, pas l’instant
L’escroquerie a exploité un raccourci mental courant: un compte authentique est supposé impliquer un message authentique. La vérification a renforcé ce raccourci. Elle disait aux utilisateurs qu’un compte d’intérêt public était associé à la personne ou à l’organisation représentée. Il ne s’agissait pas d’une signature cryptographique du propriétaire du compte sur chaque publication.
Une fois qu’un outil administratif pouvait changer le contrôle, la vérification de la plateforme continuait d’attester une relation d’identité que la session en cours ne respectait plus. Le badge ne disparaissait pas lorsque le mot de passe, l’e-mail ou l’état de l’authentification multifacteur changeait. Le signal de confiance et le système de récupération de la plateforme étaient donc couplés: la décision de récupération déterminait qui héritait de la valeur persuasive du badge.
Cela a des conséquences pratiques. Les changements de compte à fort impact devraient être traités différemment des publications de routine. Une plateforme pourrait appliquer une période de refroidissement, un examen supplémentaire, une notification visible au propriétaire, des limites temporaires sur les sollicitations financières, ou un changement d’état visible après une récupération assistée par le support. Chaque mesure a des coûts. Un délai peut nuire à un propriétaire de compte confronté à un abus actif. Un avertissement public peut divulguer une récupération sensible. Une règle de contenu peut être contournée. Pourtant, aucune friction ne permet à une seule décision administrative de transférer instantanément la confiance accumulée.
La publication de septembre 2020 de Twitter surl’amélioration de la sécurité pour les comptes liés aux électionsdécrivait des défenses de connexion plus fortes, une protection des réinitialisations de mot de passe et l’encouragement ou l’obligation d’utiliser l’authentification à deux facteurs pour un groupe désigné. Il s’agissait de protections en aval pertinentes, mais l’incident de juillet a montré que l’authentification multifacteur côté utilisateur ne pouvait pas à elle seule contrer un outil de support interne capable de réinitialiser ou de modifier l’état du compte. Protéger un utilisateur de premier plan à la connexion et protéger le chemin de récupération des employés sont des problèmes de contrôle distincts.
« Utilisez l’authentification multifacteur » était vrai et incomplet
Les employés compromis utilisaient une authentification multifacteur basée sur application. Le NYDFS a constaté que les attaquants saisissaient les identifiants capturés sur la vraie page de connexion de Twitter pendant que l’employé interagissait avec le site d’hameçonnage. La vraie connexion produisait une demande d’approbation, et certains employés l’acceptaient. Le deuxième facteur confirmait la possession d’un appareil et la volonté d’approuver. Il n’établissait pas que l’employé s’authentifiait auprès du service prévu dans une transaction qu’il avait initiée.
Twitter a déclaré plus tard avoir accéléré le déploiement de clés de sécurité résistantes à l’hameçonnage pour les employés. Sa publication surle travail continu de sécuritédécrivait également davantage de formation, de tests de pénétration, de planification de scénarios, d’examens de confidentialité et d’efforts pour réduire l’accès non autorisé aux systèmes internes à partir d’identifiants compromis.
La distinction de conception est étayée par des directives fédérales ultérieures. Le NIST explique que l’authentification résistante à l’hameçonnageutilise une liaison cryptographique pour empêcher le matériel d’authentification capturé d’être rejoué vers le service légitime, et la recommande particulièrement pour les utilisateurs élevés. Cette explication de 2023 est une référence, pas une preuve de ce que Twitter a déployé en juillet 2020. Le NYDFS a déclaré indépendamment qu’une clé de sécurité physique aurait arrêté le chemin d’authentification relayé qu’il a reconstruit.
Même une connexion employé résistante à l’hameçonnage ne répondrait qu’au vol initial d’identifiants. Elle ne répondrait pas à la question de savoir si trop de rôles pouvaient atteindre les outils à haute autorité, si les actions de support nécessitaient un deuxième approbateur, si un compte récupéré pouvait publier immédiatement, si la génération d’archives était anormale, ou si les sessions étaient surveillées. Une authentification forte protège la porte. L’autorisation, la conception des processus et la surveillance déterminent ce qui se passe après l’entrée.
L’Architecture Zero Trust du NIST, publiée en août 2020, est utile ici car elle rejette la confiance implicite basée uniquement sur l’emplacement réseau et exige une authentification et une autorisation distinctes avant l’accès à une ressource. Appliquer ce principe ne nécessite pas de transformer cet événement en slogan. Cela signifie qu’une session VPN valide ne devrait pas automatiquement établir un droit continu à parcourir chaque page de processus interne ou à exécuter un changement de compte à haut risque. La sensibilité des ressources, l’état de l’appareil, le rôle de l’utilisateur, le contexte de la transaction et le comportement récent devraient influencer la décision.
La récupération ne doit pas devenir une copie plus faible de la connexion
La sécurité des comptes utilisateur est souvent évaluée à la porte d’entrée: qualité du mot de passe, inscription à l’authentification multifacteur, détection de connexion suspecte. Le chemin de support interne se trouve à côté de cette porte. Si le support peut changer l’adresse e-mail, réinitialiser le mot de passe ou désactiver l’authentification multifacteur sur des preuves plus faibles, alors le processus de support définit le niveau d’assurance réel.
Leguide OWASP sur les mots de passe oubliésrecommande des jetons de canal latéral, une limitation de débit, une notification après réinitialisation et l’invalidation de session. Songuide de test de l’authentification multifacteurfait le point central selon lequel une réinitialisation de l’authentification multifacteur devrait être testée avec le même sérieux que le mécanisme de l’authentification multifacteur. Ce sont des références générales de sécurité des applications, pas des normes juridiques spécifiques à l’incident.
Pour l’opération de récupération interne d’une plateforme mondiale, le modèle responsable est plus strict:
- séparer l’autorité de consultation de l’autorité de modification, de sorte que voir un compte n’implique pas la capacité de le transférer;
- exiger un identifiant de dossier lié à un but et enregistrer la base de la politique pour les actions sensibles;
- obtenir une approbation indépendante pour les modifications de comptes à fort impact ou d’attributs à haut risque;
- lier l’accès des employés à un appareil géré et à un authentificateur résistant à l’hameçonnage;
- notifier le propriétaire du compte via des canaux préexistants avant ou immédiatement après une modification;
- révoquer ou examiner les sessions existantes lorsque les attributs d’identité changent;
- restreindre temporairement les comportements inhabituellement risqués après une récupération assistée par le support;
- corréler les modifications entre les comptes, les employés, les destinations et les modèles de message en temps réel;
- préserver des preuves d’audit inviolables visibles par une équipe de surveillance distincte de l’opérateur;
- donner aux exceptions d’urgence un chemin explicite et journalisé plutôt qu’une discrétion informelle.
Cette conception ralentira certains cas légitimes. Ce coût devrait être mesuré par rapport à l’autorité impliquée. Twitter a déclaré que plus de 1 000 employés avaient accès aux outils internes de maintenance des comptes, d’examen du contenu et de tâches connexes. Le NYDFS a conclu que l’accès était trop large pour le risque et a noté que Twitter l’avait réduit après l’incident même si le travail ralentissait. Le compromis n’est pas entre zéro accès et support instantané. Il s’agit de répartir des capacités étroites pour que les tâches courantes restent efficaces tandis que les actions rares de transfert d’identité nécessitent plus de preuves.
La surveillance devait comprendre des séquences, pas des actions isolées
Aucun événement unique n’avait l’air nécessairement décisif. Une connexion réussissait avec l’authentification multifacteur. Une page interne était ouverte. L’e-mail d’un compte changeait. Une archive était demandée. Un compte récupéré publiait une adresse Bitcoin. Chaque action pouvait avoir une explication légitime seule.
La séquence était extraordinaire. Plusieurs employés ont reçu des appels similaires. Une identité explorait les systèmes internes. Plusieurs comptes de grande valeur changeaient de contrôle. Des messages similaires apparaissaient sur des comptes de premier plan. Les archives étaient demandées à une échelle inhabituelle. Une seule adresse de destination se répétait. Un programme de surveillance efficace devait corréler les événements d’identité, de dossier de support, d’action administrative, de contenu et de réseau assez rapidement pour arrêter la chaîne avant que la phase publique ne mûrisse.
Le NYDFS a constaté que certains employés avaient signalé des appels suspects et que l’équipe d’incident de Twitter enquêtait avant le début des prises de contrôle des entreprises de cryptomonnaies. Il a également conclu qu’une surveillance plus forte aurait pu détecter une activité anormale plus près du temps réel ou mettre fin aux sessions risquées. Cette conclusion ne divulgue pas quelles alertes existaient, quels seuils se sont déclenchés, qui les a vues, ni pourquoi certaines actions ont continué. Elle soutient une lacune de contrôle sans fournir une chronologie complète des alertes.
La surveillance des actions privilégiées exige plus que la conservation des journaux pour une enquête ultérieure. Un contrôle de haute qualité répondrait:
- Combien de modifications d’e-mail, de mot de passe et d’authentification multifacteur de compte un employé peut-il effectuer dans un intervalle défini?
- Les comptes affectés sont-ils sans rapport avec la file d’attente, la géographie ou la fonction assignée de l’employé?
- L’action a-t-elle été précédée d’un nouvel appareil, d’un chemin réseau inhabituel ou d’une récupération récente d’identifiants?
- L’employé a-t-il accédé à de la documentation interne en dehors des schémas de rôle normaux?
- Plusieurs comptes récupérés ont-ils immédiatement publié la même adresse financière ou le même libellé?
- Les archives de données ont-elles été demandées sans processus initié par l’utilisateur correspondant?
- La surveillance peut-elle suspendre la transaction sans compter sur l’opérateur potentiellement compromis?
L’objectif n’est pas de profiler un employé comme coupable. Une identité compromise et un initié malveillant peuvent produire des actions techniques similaires. Les contrôles devraient protéger l’employé ainsi que la plateforme en détectant l’exercice d’une autorité en dehors du contexte attendu.
Les ordonnances antérieures de la FTC rendent la question de gouvernance plus aiguë
Twitter est entré en juillet 2020 avec un historique réglementaire inhabituellement pertinent. En 2010, la Federal Trade Commission alléguait que des failles de sécurité avaient permis à des intrus en 2009 d’obtenir un contrôle administratif, d’accéder à des informations non publiques, de réinitialiser des mots de passe et d’envoyer des tweets non autorisés. Laplainte de 2011 de la FTCalléguait, entre autres, une restriction insuffisante de l’accès administratif en fonction des besoins du poste.
Ladécision et ordonnance de 2011qui en a résulté ne constituait pas une admission de Twitter que les violations alléguées de la loi s’étaient produites. Elle imposait des obligations. Il était interdit à Twitter de déformer la protection des informations non publiques des consommateurs et tenu de maintenir un programme complet de sécurité de l’information écrit. L’ordonnance exigeait expressément une évaluation des risques couvrant la formation et la gestion des employés, la conception des systèmes et la prévention, la détection et la réponse aux attaques, intrusions, prises de contrôle de comptes et contrôle administratif non autorisé. Elle exigeait également des évaluations indépendantes selon un calendrier spécifié.
Cet historique ne prouve pas que l’incident de juillet 2020 a violé l’ordonnance de la FTC. Les sources publiques examinées ici ne contiennent pas de constatation de la FTC selon laquelle la prise de contrôle elle-même aurait enfreint le décret, et les rapports d’évaluation indépendants n’ont pas été publiés avec le dossier de l’incident. Il rend plusieurs questions incontournables: comment le programme a-t-il évalué l’autorité des outils de support; qu’ont dit les évaluations sur l’accès administratif; comment les changements de télétravail ont-ils été testés; et quelles preuves sont parvenues à la haute direction?
Une action distincte de la FTC et du DOJ annoncée en 2022 concernait l’utilisation par Twitter des numéros de téléphone et adresses e-mail collectés à des fins de sécurité pour la publicité ciblée entre 2014 et 2019. Ledossier de l’affaire FTCet l’annonce de règlement du DOJdécrivent une amende civile de 150 millions de dollars et des exigences de programme supplémentaires. Cette affaire n’a pas jugé la prise de contrôle de juillet 2020. Elle appartient au dossier de responsabilité parce qu’elle montre que l’ordonnance préexistante avait une force continue et que les données de contact de sécurité et de récupération se trouvaient à la fois dans le système de protection et dans l’entreprise publicitaire.
La chronologie compte. Le dépôt annuel 2020 de Twitter a indiqué avoir reçu un projet de plainte de la FTC le 28 juillet, moins de deux semaines après le piratage, mais la plainte concernait la pratique antérieure des données de contact. Combiner les deux questions en une seule violation alléguée serait inexact. Les garder séparées révèle un problème de gouvernance plus large: la sécurité des comptes n’était pas une fonction technique secondaire. Elle impliquait le privilège administratif, les communications des utilisateurs, les données personnelles, les incitations publicitaires, les promesses réglementaires et les risques au niveau du conseil.
La responsabilité pénale était répartie entre les juridictions
Les premières accusations fédérales sont arrivées rapidement. Le 31 juillet 2020, le Département de la Justice aannoncé des plaintes contre Mason Sheppard et Nima Fazeliet a déclaré qu’une affaire juvénile avait été renvoyée au procureur de l’État à Tampa. La publication était explicite que les allégations de la plainte n’étaient pas des preuves et que les accusés étaient présumés innocents jusqu’à preuve du contraire.
La Floride a par la suite poursuivi Graham Ivan Clark devant un tribunal d’État. Unarticle de WUSF sur le plaidoyer et la peine, s’appuyant sur l’annonce et l’audience du procureur de l’État de Hillsborough, a rapporté que Clark avait plaidé coupable et reçu trois ans dans un établissement pour mineurs suivis de trois ans de probation dans le cadre du régime des jeunes délinquants de Floride. L’issue établissait la responsabilité pénale individuelle de Clark; elle ne résolvait pas les responsabilités de contrôle de Twitter.
Joseph James O’Connor, un ressortissant britannique extradé d’Espagne, aplaidé coupable en mai 2023pour des accusations couvrant plusieurs stratagèmes, y compris la participation à la conspiration Twitter. Le Département de la Justice a déclaré que les co-conspirateurs ont utilisé l’ingénierie sociale pour atteindre les outils administratifs de Twitter, transféré le contrôle de comptes, utilisé certains pour la fraude et vendu d’autres. En juin 2023, O’Connor a étécondamné à cinq ans de prison fédéralepour un ensemble plus large d’infractions, la conduite sur Twitter faisant partie de l’affaire.
Ces dossiers doivent être lus accusé par accusé. Les plaintes initiales contre Sheppard et Fazeli étaient des allégations. Le plaidoyer de Clark et celui d’O’Connor étayent des conclusions ultérieures sur leur propre conduite admise. La peine de cinq ans d’O’Connor couvrait également l’échange de cartes SIM, d’autres prises de contrôle de plateformes, l’extorsion, le harcèlement et les menaces; elle ne peut pas être entièrement attribuée à l’incident Twitter. Le silence public sur la disposition ultérieure d’une personne nommée ne doit pas être converti en culpabilité ou acquittement.
Les poursuites pénales ont répondu à la question de savoir qui pouvait être puni pour accès non autorisé et fraude là où les preuves étayaient une affaire. Elles n’ont pas répondu à la question de savoir si l’architecture d’accès de la plateforme était proportionnée, si la remédiation a comblé toutes les lacunes, ou si les utilisateurs ont reçu une réparation complète. La responsabilité d’entreprise et la responsabilité pénale peuvent coexister sans être substituables.
Ce que les archives publiques ne peuvent toujours pas montrer
La confiance dans l’événement global est élevée parce que de multiples enregistrements indépendants convergent. La confiance devrait devenir plus étroite à mesure que les questions deviennent plus techniques.
Le dossier public ne fournit pas:
- une liste complète des identités d’employés compromises et leurs rôles exacts;
- le nombre d’employés appelés, le taux de réussite et la chronologie complète des appels;
- les journaux d’appareil, VPN, fournisseur d’identité et application pour chaque session;
- chaque page interne, champ de compte et fonction d’outil consulté ou exercé;
- le mécanisme précis utilisé pour modifier l’e-mail, le mot de passe et l’état de l’authentification multifacteur de chaque compte utilisateur;
- si une action nécessitait l’approbation d’un superviseur avant l’incident et comment ce contrôle a fonctionné;
- chaque alerte générée, supprimée, escaladée ou manquée;
- un registre d’actions par compte pour les 130 comptes ciblés;
- la preuve des messages directs qui ont été lus ou conservés;
- le contenu des archives et l’utilisation en aval pour chacun des sept téléchargements;
- un registre complet des pertes des victimes distinguant les paiements authentiques, l’auto-financement des attaquants, la récupération et les mouvements ultérieurs;
- un rapport de clôture audité indépendamment pour les engagements post-incident.
Il y a aussi une tension de formulation dans les comptes publics. Twitter a utilisé « ciblé » pour 130 comptes et a décrit les tweets publics, l’accès aux boîtes de réception et le téléchargement d’archives comme des sous-ensembles. Le NYDFS a parfois qualifié les 130 de compromis. L’interprétation la plus sûre est de conserver le terme de la source et d’énoncer ensuite les chiffres spécifiques à l’action. Les preuves publiques ne justifient pas de dire que les attaquants ont entièrement contrôlé et utilisé chacun des 130 de la même manière.
Des captures d’écran des outils internes ont circulé pendant l’événement, et des reportages fiables tels que l’analyse du marché des comptes par KrebsOnSecurityont aidé à documenter l’économie des comptes OG et les intermédiaires. Les captures d’écran ne sont pas un diagramme d’architecture complet. Les étiquettes d’interface peuvent révéler des champs et des capacités, mais elles ne prouvent pas les limites d’autorisation du backend, la journalisation ou l’état de chaque contrôle.
Twitter a délibérément limité les détails de remédiation pour protéger leur efficacité, un choix raisonnable de réponse aux incidents. Au fil du temps, la responsabilité exige toujours des preuves qui distinguent une cause racine corrigée d’une promesse. Les descriptions publiques des clés de sécurité, de la réduction des accès, de la formation, des exercices, d’un nouveau RSSI et d’une surveillance améliorée montrent une direction. Elles ne montrent pas la couverture, les exceptions, les résultats des tests ou si un transfert similaire échouerait.
La responsabilité suit le contrôle de la capacité défaillante
L’attribution la plus nette est fonctionnelle.
| Acteur | Contrôle avant ou pendant l’événement | Preuve ou action de responsabilité |
|---|---|---|
| Contrevenants et intermédiaires | Appels, infrastructure d’hameçonnage, utilisation des identifiants, reconnaissance interne, ventes de comptes, messages frauduleux, destinations Bitcoin et mouvement de fonds. | Enquête criminelle, poursuites, confiscation, restitution aux victimes lorsque ordonnée, et conservation des preuves des appareils et communications. |
| Équipes de sécurité et d’identité de Twitter | Authentification des employés, appareils gérés, accès réseau, autorisation des outils, contrôles de session, surveillance et réponse aux incidents. | Démontrer un accès résistant à l’hameçonnage, le moindre privilège, la recertification des rôles, une surveillance sensible aux séquences, un confinement testé et une auditabilité complète des actions privilégiées. |
| Support, confiance et opérations juridiques de Twitter | Besoin commercial des outils internes, processus de dossier, modifications de compte, contrôles de contenu et traitement des demandes légales. | Séparer le support de routine de l’autorité de transfert d’identité, exiger un but et une approbation, et maintenir des chemins d’urgence sans privilège universel. |
| Dirigeants et conseil d’administration de Twitter | Leadership en sécurité, appétit pour le risque, ressources, gestion du changement du télétravail, conformité réglementaire et supervision de la remédiation. | Recevoir des indicateurs utiles à la décision, remettre en question l’autorité concentrée, vérifier la clôture et traiter la continuité des communications comme un risque d’entreprise. |
| Propriétaires de comptes | Leurs propres identifiants, accès du personnel, outils tiers autorisés et canaux de communication de secours. | Utiliser une authentification forte, minimiser les délégués, pré-publier des canaux alternatifs, surveiller les publications et répéter une répudiation rapide. Ils ne peuvent pas contrôler la console interne de Twitter. |
| Entreprises de cryptomonnaies | Contrôles des transactions clients, filtrage des destinations, friction des transferts, alertes et réponse à la fraude. | Étiqueter et bloquer rapidement les adresses frauduleuses connues, partager des renseignements, préserver les preuves et communiquer clairement sans prétendre que chaque transfert est réversible. |
| Régulateurs et forces de l’ordre | Demandes de supervision, procédure judiciaire, coordination inter-entreprises, enquête criminelle et constatations publiques dans la juridiction. | Préserver les distinctions entre allégation et constatation, coordonner rapidement au-delà des frontières et rechercher des preuves proportionnées à l’autorité à l’échelle de la plateforme. |
| Destinataires des messages | Choix de cliquer, d’envoyer des fonds et de rechercher une vérification indépendante. | Appliquer le scepticisme aux rendements impossibles et vérifier par un autre canal, tout en reconnaissant que la plateforme a fourni un signal d’authenticité corrompu. |
Cette attribution rejette deux conclusions simplistes. La première est que les utilisateurs étaient responsables parce que l’offre était manifestement frauduleuse. Certains l’ont reconnue; d’autres non. Le droit de la fraude et la conception de la sécurité existent parce que les gens agissent sur des représentations de confiance. La seconde est que Twitter était seul responsable de chaque transfert de bitcoins. Les contrevenants ont conçu et exécuté la fraude, et les intermédiaires de paiement et les utilisateurs avaient différentes occasions de l’interrompre. La responsabilité distinctive de Twitter était celle qu’aucun autre acteur ne pouvait exercer: contraindre et observer l’autorité interne qui transférait les voix de confiance.
Les preuves qu’une plateforme responsable devrait pouvoir produire
La leçon durable n’est pas « faites plus de formation » ou « utilisez des clés matérielles », bien que les deux puissent compter. Il s’agit de rendre mesurable l’autorité administrative à fort impact. Une plateforme d’importance publique comparable devrait pouvoir produire un registre de contrôle répondant aux questions suivantes sans exposer de détails qui aideraient un attaquant:
Autorité:Combien de personnes et de comptes de service peuvent voir les données non publiques des comptes, modifier les attributs de contact, réinitialiser les mots de passe, modifier l’authentification multifacteur, demander des archives, publier au nom des utilisateurs ou supprimer du contenu? Combien peuvent combiner deux de ces fonctions ou plus?
But:Chaque action privilégiée est-elle liée à un dossier, une base politique et un rôle autorisé? Un opérateur peut-il rechercher des comptes de premier plan arbitraires sans raison professionnelle? Les droits d’accès sont-ils recertifiés lorsque les postes changent?
Preuve:Quelles preuves sont requises avant un transfert assisté par le support? Les preuves sont-elles indépendantes du contact entrant? La norme augmente-t-elle pour les comptes gouvernementaux, d’urgence, financiers, médiatiques et de très grande taille?
Approbation:Quelles actions nécessitent l’accord de deux personnes ou d’un service distinct? Le deuxième approbateur peut-il voir les preuves originales plutôt que simplement accepter une demande d’approbation?
Détection:Quel délai de détection s’applique aux modifications inhabituelles de comptes, aux demandes d’archives en masse, aux accès répétés à des comptes de premier plan sans rapport, ou aux destinations financières communes? La surveillance peut-elle mettre fin à une session automatiquement?
Confinement:Quelles fonctions peuvent être retirées indépendamment? Les intervenants peuvent-ils préserver la communication de sécurité publique tout en gelant les actions de récupération risquées? Les canaux d’état sont-ils contrôlés en dehors de la limite d’identité suspectée?
Continuité:Qu’utilisent les institutions publiques et les clients à fort impact lorsque la publication normale est indisponible? Le repli a-t-il été authentifié auprès des publics à l’avance?
Preuves:Les journaux sont-ils suffisamment complets pour reconstruire qui a vu, modifié, approuvé et exporté quoi? Sont-ils protégés du même administrateur dont ils enregistrent les actions? Combien de temps sont-ils conservés?
Remédiation:Qui vérifie que les réductions d’accès, le déploiement de clés de sécurité, les règles de surveillance et les changements de processus fonctionnent? Quelles exceptions subsistent? Quand a eu lieu le dernier exercice contradictoire?
Réparation:Les utilisateurs affectés peuvent-ils obtenir un historique d’actions compréhensible, rétablir le contrôle, sécuriser les sessions, comprendre l’exposition possible des données et atteindre un support formé sans rejoindre la même file d’attente que les cas de routine?
Les indicateurs devraient exposer la tension entre service et sécurité. Le temps médian de support seul récompense la vitesse. Le nombre d’utilisateurs privilégiés seul peut récompenser une restriction indiscriminée. De meilleures mesures incluent les actions sensibles par rôle, le pourcentage avec approbation indépendante, les changements à haut risque bloqués ou annulés, la livraison des notifications aux propriétaires, les séquences anormales détectées, les droits périmés supprimés, les résultats des exercices des canaux d’urgence et le temps nécessaire pour fournir à un utilisateur affecté des faits fiables.
La véritable perte était l’incertitude sur qui avait le droit de parler
La prise de contrôle de juillet 2020 était financièrement modeste par rapport à de nombreux incidents cybernétiques ultérieurs. Son importance venait de l’autorité atteinte. Un outil de support derrière un service cloud pouvait décider qui contrôlait une voix mondialement reconnue. Une fois ce processus de décision subverti, les signaux de confiance les plus précieux de la plateforme fonctionnaient pour l’attaquant, et la réponse immédiate la plus sûre était de limiter la communication légitime à une population beaucoup plus large.
Twitter a pris des mesures importantes: il a expulsé les accès, restreint les outils, restauré les comptes, notifié les utilisateurs affectés, réduit les autorisations des employés, accéléré les clés de sécurité, élargi la formation et les exercices et embauché un RSSI. Les entreprises financières ont bloqué une sortie tentée bien plus importante que le montant parvenu aux adresses frauduleuses. Les enquêteurs ont agi rapidement, et des plaidoyers ultérieurs ont établi la responsabilité de certains entités.
Ces résultats ne font pas de l’événement une réussite. Ils montrent combien d’efforts compensatoires ont été nécessaires après la défaillance d’une surface de récupération. Les employés, les intervenants, les propriétaires de comptes, les institutions financières, les régulateurs, les forces de l’ordre et les utilisateurs ont tous absorbé des coûts créés par une autorité concentrée que seul Twitter pouvait concevoir.
La norme de responsabilité est donc simple à énoncer et difficile à satisfaire: le pouvoir de récupérer une voix doit être protégé aussi soigneusement que la voix elle-même. Pour une plateforme intégrée aux marchés, à la politique, aux informations d’urgence et à la réputation quotidienne, le support administratif n’est pas une commodité en coulisses. Il fait partie de l’infrastructure de communication. L’escroquerie de 118 000 $ a rendu cette infrastructure visible. Le risque sans réponse était tout le reste que la même autorité aurait pu dire.

