3 leçons de sécurité essentielles tirées du piratage d’Uber


Le service de covoiturage Uber a reconnu une violation de son réseau interne à la fin de la semaine dernière, le pirate informatique ayant soi-disant accès au code source, aux e-mails et à d’autres systèmes d’Uber comme Slack. L’entreprise a ensuite rapidement rassuré le public sur le fait qu’aucune donnée client n’avait été compromise, une affirmation que tous les experts en sécurité ne trouvent pas plausible.

Vous devez bien sûr toujours modifier les informations d’identification de votre compte Uber et vérifier que vous n’utilisez pas cet ancien mot de passe ailleurs ; c’est une précaution facile et sage à prendre, car l’histoire de l’entreprise inclut la dissimulation d’une violation majeure des données des clients pendant environ un an. Mais ce n’est pas la principale conclusion de cet incident.

Le piratage est signalé comme le résultat d’une ingénierie sociale et a annulé les mesures de sécurité qui comprenaient l’authentification à deux facteurs (2FA). Un employé avec un mot de passe compromis a été spammé avec des demandes d’authentification 2FA, dont l’une a finalement été approuvée après que le pirate se soit fait passer pour un informaticien Uber et ait contacté l’employé via Whatsapp.

Ce résultat ne signifie pas que l’association d’un mot de passe fort et unique avec une authentification à deux facteurs n’est pas efficace. Seulement cette ingénierie sociale est incroyablement puissante, s’attaquant aux erreurs faciles à commettre. En fait, cette dernière violation d’Uber met en évidence trois moyens clés de mieux vous protéger en ligne.

1. Arrêtez-vous toujours et réfléchissez

Écran d'approbation de l'authentificateur Microsoft
Ces demandes ne devraient apparaître que lorsque vous vous connectez à un site ou à une application. Si vous le voyez autrement, vous avez des problèmes.

Ed Hardie / Unsplash

Un mot de passe est votre première ligne de défense contre l’accès non autorisé à vos comptes en ligne. L’authentification à deux facteurs est la deuxième couche de défense, au cas où votre mot de passe serait compromis.

Si vous choisissez un formulaire de 2FA qui envoie des demandes à votre téléphone ou à une application sur votre téléphone, les demandes d’autorisation ne devraient apparaître que lorsque vous avez réussi à saisir un mot de passe.

Tu. Personne d’autre. Le site Web ou l’application lui-même dispose d’autorisations système pour accéder à votre ou vos comptes et à toutes les activités que vous y avez effectuées sans jamais vous impliquer. (Il en va de même pour votre service informatique pour les comptes liés au travail, pour mémoire.)

Vous ne devriez voir une demande d’autorisation 2FA arriver que lorsque vous êtes en train de vous connecter à un compte. Si ce n’est pas le cas, vous avez un problème, surtout si vous recevez presque tous des spams avec plusieurs demandes.

Ainsi, votre troisième et dernière couche de défense est votre cerveau vif et actif. Méfiez-vous des demandes 2FA inattendues. Ils sont absolument louches (c’est-à-dire « phishy »).

2. Sachez à qui faire confiance

résultat d'échec d'autorisation sur un site Web
Si quelqu’un essaie d’accéder à votre compte à votre insu, vous devrez peut-être contacter le support client du site ou de l’application pour obtenir de l’aide.

Markus Spiske / Pexels

L’accès au compte ne doit être disponible que pour deux entités : vous et l’entreprise qui gère le site Web, le service ou l’application. Et comme mentionné ci-dessus, cette société n’a pas besoin de vous pour accéder à votre compte. Éliminez toujours les communications demandant votre mot de passe ou des informations à deux facteurs comme étant frauduleuses.

Une fois que vous avez reçu une demande d’authentification à deux facteurs à l’improviste, c’est votre signal pour appeler des renforts. Contactez immédiatement le service client du site Web ou de l’application. Vous souhaitez signaler l’utilisation non autorisée de votre mot de passe et bénéficier d’une assistance guidée pour sécuriser votre compte.

(Vous pourriez être tenté de changer votre mot de passe immédiatement – ce n’est pas un mauvais instinct, mais vous devrez généralement passer une vérification à deux facteurs pour qu’il passe si 2FA est actif. Si vous n’avez qu’une seule méthode pour 2FA, et votre pirate envoie plusieurs demandes à votre téléphone, vous pourriez courir le risque d’approuver accidentellement la demande de votre pirate potentiel au lieu de celle que vous avez générée.)

3. Choisissez une forme résiliente de 2FA

Yubikey
Certaines clés matérielles (comme cette Yubikey, illustrée) sont conçues pour se brancher sur le port de charge de votre téléphone.

Yubico

Plus votre forme d’authentification est pratique, plus il est facile de faire des compromis. Cet axiome s’applique autant à l’authentification à deux facteurs que, par exemple, à la longueur du mot de passe.

La longueur du mot de passe est discutée beaucoup plus souvent, car c’est la première ligne de défense et souvent la seulement ligne de défense. Les journalistes techniques et les experts en sécurité soupirent souvent de soulagement lorsque les gens utilisent n’importe quelle forme de 2FA. Mais les méthodes d’authentification à deux facteurs varient dans leur résistance au piratage et à l’erreur humaine :

  • E-mail et message texte sont simples et faciles à comprendre, et vous pouvez souvent y accéder à partir de plusieurs appareils. Cependant, ils s’appuient également sur une communication non sécurisée. Ces types de comptes peuvent également être repris via l’ingénierie sociale.
  • Appareils (par exemple, smartphones ou tablettes) et applications qui reçoivent des demandes push sont une amélioration par rapport aux e-mails ou aux SMS, et déplacer la configuration 2FA vers un nouvel appareil (si nécessaire) est généralement facile. Mais ils sont encore faibles contre la faillibilité humaine, comme une erreur lors du balayage ou du tapotement sur l’écran d’un téléphone, ou l’ingénierie sociale.
  • Applications que vous devez ouvrir manuellement pour afficher un code 2FA ne devrait être visible que par vous, un gros plus. Cependant, ce niveau de sécurité ne s’applique que lorsque les codes ne sont accessibles que localement sur l’appareil, et non lorsqu’ils sont stockés et synchronisés via le stockage en nuage. L’inconvénient est que si vous ne sauvegardez pas votre configuration, la restauration de l’accès à vos codes 2FA peut être une véritable galère.
  • Jetons matériels sont des éléments physiques complètement indépendants qui peuvent générer et afficher un code 2FA à utiliser, ou gérer l’autorisation 2FA de manière transparente via un port USB ou une connexion sans fil (NFC ou Bluetooth). Comme vous pouvez l’imaginer, ceux-ci sont très sécurisés, mais courent le risque d’être perdus. (Vous aurez généralement besoin de plus d’un pour des raisons de sécurité.)

En bref, si vous savez que vous êtes susceptible d’être plus sensible à l’ingénierie sociale (ou que vous risquez davantage de tentatives d’ingénierie sociale), choisissez une méthode qui couvre vos arrières si vous avez un jour de repos. Assurez-vous également de vous protéger contre les maux de tête logistiques, qui sont plus probables avec des formes plus sûres de 2FA. Pour encore plus de conseils de protection, assurez-vous de lire notre guide des 5 tâches faciles qui renforcent votre sécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*