Les employés de Cloudflare attaqués par les mêmes pirates qui ont hacké Twilio

Posted On 18 Août 2022

Les représentants de Cloudflare ont déclaré que certains employés de l’entreprise avaient été victimes d’une attaque par SMS phishing.

Il y a quelques jours, je vous parlais de la tentative de piratage de la société Signal. Le spécialiste de la messagerie sécurisée avait du alerter 1 900 de ses utilisateurs aprés une tentative d’infiltration sérieusement structurée et professionnelle. Le pirate était passé par un partenaire de Signal, la société Twilio.

On vient d’apprendre que Twilio a eu plusieurs de ses clients impactés, dont le géant du web, Cloudflare. Tout comme des employés de Signal et Twilio, des salariés de Cloudflare ont reçu de faux messages par SMS les incitants à modifier leur mot de passe.

SMS piégé

Des représentants de Cloudflare ont déclaré que certains employés de l’entreprise avaient été victimes d’une attaque par SMS de phishing et que leurs informations d’identification avaient été volées.

Dans le cadre d’une attaque de phishing contre des employés de Twilio, des pirates se sont fait passer pour des représentants du service informatique de l’entreprise. Dans leurs messages SMS, ils ont demandé aux gens de cliquer sur des liens contenant des mots-clés tels que Twilio, Okta et SSO, après quoi les victimes ont été redirigées vers une fausse page de connexion Twilio. Les gens étaient persuadés de cliquer sur des liens malveillants avec des avertissements indiquant que leurs mots de passe étaient censés avoir expiré ou qu’il était temps de les changer conformément au plan, car ils étaient obsolètes.

Les responsables de Twilio ont écrit que d’autres entreprises avaient subi des attaques similaires. Les noms des autres sociétés concernées n’ont pas été divulgués. On les découvre, au fur et à mesure !

Comme le rapporte maintenant Cloudflare, l’une des cibles des pirates était ses employés. Dans ce cas, les attaquants ont effectué la même attaque de phishing par SMS et ont réussi à voler les identifiants, mais n’ont pas réussi à se connecter avec eux : les pirates n’avaient pas accès aux clés FIDO2 utilisées par l’entreprise.

Au total, 76 employés et leurs familles ont reçu des messages de phishing. Les contrefaçons provenaient de numéros T-Mobile et redirigeaient les victimes vers de fausses pages de connexion Cloudflare Okta. Le domaine avait été enregistré via le registar Porkbun, qui a également été utilisé pour enregistrer les domaines vus dans l’attaque Twilio.

Intéressant de relier l’ensemble des outils utilisés par les pirates.
Base de données piratées chez T-Mobile [lire] ; base de données chez Twilio [lire] ; …

Une cyber attaque qui ne peut que donner raison aux clés physiques dédiées à la double authentification comme j’ai pu vous le montrer dans [ici] et [là].

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.