Kurt s’est fait avoir

 (fly.io)
1 points par GN⁺ 2025-10-10 | 1 commentaires | Partager sur WhatsApp
  • Le compte Twitter de Fly.io a été compromis à la suite d’une attaque de phishing
  • Le CEO Kurt Mackey explique comment un e-mail de phishing sophistiqué l’a amené à divulguer les informations du compte
  • Le compte Twitter était considéré en interne comme un actif de faible importance, et avait donc été exclu des priorités de sécurité
  • Mise en avant de l’importance d’une authentification résistante au phishing (MFA, Passkeys, FIDO2, etc.) comme moyen de prévention
  • À la suite de l’incident, il est mentionné la nécessité de renforcer la sécurité MFA du compte Twitter et de redéfinir la sensibilisation à la sécurité

Aperçu de l’incident de phishing du compte Twitter de Fly.io

  • Le compte Twitter de Fly.io a été compromis par une attaque de phishing
  • Le CEO Kurt Mackey a reçu un e-mail de phishing soigneusement conçu et a saisi les informations du compte, exposant ainsi celui-ci à l’attaque
  • La cause de fond du succès de l’attaque tient au fait que ce compte Twitter était objectivement perçu comme peu important, ainsi qu’à une vulnérabilité psychologique de l’équipe en charge, peu familière avec la culture internet des plus jeunes

Déroulement précis de l’attaque de phishing

  • Depuis longtemps, Fly.io confiait une partie de la gestion de son canal Twitter à des prestataires externes, tout en étant peu familière des contenus de nouvelle génération comme les mèmes créatifs
  • L’e-mail de phishing utilisé dans cette attaque était conçu pour ressembler à une véritable alerte de x.com (Twitter), en exploitant des ressorts psychologiques capables de stimuler l’anxiété des dirigeants
  • Kurt a récupéré les identifiants dans 1Password puis s’est connecté sur un site de phishing manipulé par l’attaquant
  • Des traces de l’attaque ont été repérées immédiatement, notamment le changement de l’adresse e-mail du compte vers une adresse contrôlée par l’attaquant, et l’équipe a procédé en interne à la vérification et au blocage de tous les accès

Stratégie de défense contre le phishing et état de la sécurité de l’organisation

  • En général, la prévention du phishing atteint ses limites si elle repose uniquement sur la « formation des employés » ; il faut admettre que tout le monde peut cliquer par erreur
  • La contre-mesure fondamentale consiste à appliquer une authentification résistante au phishing (U2F, FIDO2, Passkeys, etc.) via une structure d’authentification mutuelle
  • L’infrastructure interne de Fly.io est protégée par du SSO et une MFA sécurisée via Google IdP, ce qui fait que seules les zones Twitter et legacy présentent des vulnérabilités relatives
  • Cet incident a conduit à reconnaître la nécessité d’appliquer le même niveau de sécurité d’authentification aux zones non critiques, comme les comptes SNS partagés

Réponse à l’incident et processus de restauration

  • L’attaquant a immédiatement révoqué toutes les sessions et tenté de réinitialiser la 2FA, si bien que même après un changement rapide de mot de passe par Fly.io, la récupération complète du compte a pris du temps
  • Grâce au support manuel de X.com, l’entreprise a récupéré l’intégralité du contrôle du compte en environ 15 heures
  • Dans l’ensemble, il n’y a eu aucune fuite de données utilisateur ou client, mais l’incident a causé un dommage temporaire à l’image de marque et une charge de travail supplémentaire pour les ingénieurs
  • L’attaquant a supprimé une partie de l’historique Twitter de Fly.io, mais les dégâts concrets sont restés limités

Conclusion et enseignements

  • L’enseignement central de cet incident est que « même un CEO peut facilement faire confiance à un e-mail, et tout le monde peut être victime de phishing »
  • À l’avenir, une MFA basée sur des Passkeys sera obligatoire pour tous les comptes importants, et cet incident servira aussi de cas pratique pour la conformité sécurité comme SOC2
  • Dans les décisions de sécurité de l’organisation, tout actif ne bénéficiant pas encore de « l’authentification résistante au phishing et de l’application d’un SSO IdP » doit impérativement être considéré comme un facteur de risque
  • Il est souhaité que cet incident serve d’avertissement à des organisations similaires

À lire aussi

1 commentaires

 
GN⁺ 2025-10-10
Réactions sur Hacker News

  • Chaque année, dans une ancienne entreprise, lors de l’audit de sécurité par pentest, la société d’audit proposait toujours aussi une attaque de phishing ou d’ingénierie sociale, mais ne le recommandait pas, en disant que ça réussissait à chaque fois.
    Une anecdote marquante : si la société de pentest laissait volontairement traîner des clés USB sur le parking, quelqu’un les ramassait invariablement et essayait de les brancher sur un PC du bureau, ce qui finissait par provoquer un piratage.
    Le phishing, au fond, n’est pas très différent.
    C’est le bon moment pour configurer des passkeys ; voir le guide Passkeys

    • Dans notre entreprise aussi, on fait régulièrement des exercices de phishing auprès des équipes internes, et le taux de non-clic atteint 90 % (je ne suis pas certain du chiffre exact).
      Cela dit, ça reste frappant de se rappeler que les 10 % restants, cela fait 1 500 personnes.
      Récemment, ils ont changé le domaine expéditeur des e-mails de phishing pour un domaine interne, donc la bannière habituelle indiquant qu’il s’agissait d’un e-mail externe n’apparaissait plus, et je me suis moi aussi fait avoir.

    • En parlant de quelqu’un qui branche une clé USB trouvée et se fait pirater, il y a une citation que j’aime beaucoup.
      Elle vient d’une source anonyme impliquée dans l’attaque de la centrale nucléaire iranienne en 2012 (Stuxnet).
      « Il y a toujours un imbécile qui ne se pose aucune question sur la clé USB qu’il a dans la main. »

    • L’an dernier, j’ai reçu un e-mail de phishing sur mon adresse professionnelle, et il était assez convaincant.
      Je savais que c’était du phishing, mais si j’avais été vraiment débordé, j’aurais pu me faire avoir.
      Quand je tombe sur ce genre de site de phishing sophistiqué, j’aime l’ouvrir volontairement dans un environnement sandbox et remplir le formulaire avec de fausses informations pour faire perdre du temps à l’attaquant.
      Sauf que j’ai découvert ensuite qu’il avait été envoyé par la société de pentest mandatée par mon entreprise, et l’URL contenait un code lié à mon compte ; du coup, même sans avoir saisi la moindre information, j’ai été comptabilisé comme victime du phishing.
      Si c’est ainsi qu’on juge la réussite d’une campagne de phishing, alors les pentests me semblent avoir peu d’intérêt.

    • Si le piratage vient du fait d’exécuter sans réfléchir un binaire depuis une clé USB ou autre, alors les passkeys ne serviront à rien.
      Même chose si l’ingénierie sociale pousse à installer un exécutable aléatoire.

    • On dit que Stuxnet s’est justement propagé de cette façon, via des clés USB, mais honnêtement je ne sais pas si ce genre de méthode fonctionne encore aujourd’hui.

  • Il m’est arrivé autrefois de passer tout près d’un phishing.
    Je n’avais pas remarqué une légère variation dans le nom de domaine, et c’est l’usage d’un portefeuille matériel qui m’a sauvé.
    J’en ai retenu que n’importe qui peut se faire piéger s’il est occupé, fatigué, ou simplement inattentif un instant.
    Comme le dit Thomas, il est important d’utiliser des passkeys sur tous les services.

    • Si vous êtes à l’aise dans l’écosystème Apple, il existe un tutoriel rédigé par son auteur expliquant comment implémenter les PassKey dans une app iOS.

    • À l’inverse, je trouve que les passkeys restent encore confuses et pleines de contraintes, au point de n’offrir aucun avantage décisif par rapport à un bon gestionnaire de mots de passe avec des mots de passe robustes.

    • Je me reconnais beaucoup dans l’idée que « personne n’est à l’abri à 100 % du phishing ».
      Il y a quelques années, on a même réussi à faire tomber le responsable sécurité lors d’un test.
      Ça rappelle vraiment que tout le monde est exposé.

  • Dans le sujet sur l’arnaque de phishing liée à Fly.io, je pense que si l’attaque avait réellement causé de gros dégâts, elle n’aurait pas été traitée avec autant de légèreté.
    Cela dit, si quelqu’un a réellement perdu des cryptomonnaies via ce lien, je me demande si la responsabilité de Fly.io pourrait être mise en cause.

  • Des recherches montrent que la formation au phishing n’est pas très efficace.
    Voir "Understanding the Efficacy of Phishing Training in Practice"

    • Les conseils du type « n’entrez pas votre mot de passe sur les sites où il ne faut pas le saisir, entrez-le seulement là où il faut » reviennent au fond à une tautologie.
      C’est un peu comme les SMS de 2FA qui disent « ne communiquez ce code à personne ! », alors que l’architecture même consiste ensuite à le saisir et à le transmettre au site au moment de la connexion.
      Je trouve ces messages d’avertissement profondément frustrants.

    • Je travaille dans un secteur très réglementé, et il y a quelques années, après qu’un employé s’est fait piéger par du phishing, l’autorité de régulation a demandé cinq années d’historique de tests et de formations au phishing.
      Pour des gens comme nous, ce type d’exercice reste donc un mal nécessaire.

    • Le lien vers exactement le même article scientifique est déjà mentionné dans l’article d’origine.

    • Je me reconnais dans l’idée que « mon enfant zoomer dit que des adultes comme nous sont trop ringards pour être crédibles sur ces sujets ».
      Malgré tout, j’aime bien la façon humoristique de le prendre.

  • Les e-mails de phishing disant que « du contenu publié sur X enfreint les règles » sont si fréquents que j’en reçois presque plus de dix par semaine.
    J’ai donc dû ajuster plusieurs fois mes filtres mail (il n’est pas simple de filtrer juste la lettre X, et les escrocs changent aussi constamment la formulation).
    J’ai fini par changer de service de sécurité e-mail ; j’en ai essayé plusieurs, mais seul Check Point bloquait tous les e-mails de phishing liés à X (ce n’est pas de la pub, juste une information).
    Pour des sociétés de sécurité, c’en était même presque embarrassant de rater des attaques de phishing dont les signes étaient pourtant aussi évidents.

  • J’ai subi il y a quelques mois exactement le même type d’attaque de phishing.
    Le niveau d’ingénierie de l’interface était vraiment impressionnant.
    Capture d’écran de l’écran de phishing

    • J’ai vu passer l’info selon laquelle Chromium développe des fonctions d’IA locales dans le navigateur, et je me dis que cela pourrait un jour servir aussi aux contrôles de sécurité.
      Par exemple, pour des liens ouverts dans un nouvel onglet venant de l’extérieur, l’IA pourrait détecter que « cette page ressemble à un site connu, mais l’URL est différente » et afficher un avertissement.
      Même en l’appliquant seulement aux 1 000 sites les plus connus, on pourrait sans doute éviter beaucoup d’incidents de phishing.

    • Une URL comme « imagecontent-x.com » devrait alerter n’importe qui, à mon avis.

    • Je me demande si, dans ce cas, le navigateur n’a pas refusé de remplir automatiquement les identifiants.
      Je me demande aussi si ce type de situation se produit souvent avec du trafic légitime, et si l’icône de cadenas à côté de la barre d’adresse s’affiche correctement.

  • Quand on voit à quel point les attaquants ont rendu crédibles à la fois la landing page factice et l’e-mail de phishing, c’est impressionnant.
    Comme je connais mal l’univers crypto, je me demande sur quoi ils se fondaient pour dire que « les chances de réussite étaient faibles et qu’il n’y avait pas de dommages ».
    J’aimerais savoir s’il est possible de suivre le portefeuille utilisé sur la fausse landing page pour vérifier qu’il n’y a réellement pas eu de victimes.

  • Cette histoire m’a rappelé l’importance d’un gestionnaire de mots de passe qui fonctionne correctement.
    Si vous exploitez un site web, vous devriez faire attention à ne pas casser le fonctionnement des gestionnaires de mots de passe.
    Quand l’autocomplétion du mot de passe ne fonctionne pas sur un site, c’est immédiatement pour moi un énorme signal d’alerte.
    Je considère que la 2FA par code ne sert absolument à rien contre le phishing.
    Si je peux me connecter, alors l’attaquant peut aussi récupérer le code 2FA, donc quel que soit le mécanisme, cela ne sert à rien.

    • Même la personne derrière haveibeenpwned.com a déjà été victime de phishing (alors qu’elle utilisait un gestionnaire de mots de passe).

    • Je me demande comment concilier cela avec les cas où des personnes techniquement compétentes utilisent un gestionnaire de mots de passe et se font quand même piéger par du phishing.

    • Il faut désactiver l’autocomplétion.
      Les attaques récentes incluent aussi des techniques comme le tapjacking, donc c’est risqué.

  • Je me demandais pourquoi ce billet s’était retrouvé en haut de page, puis j’ai vu à la fin le nom de l’auteur (Kurt), et j’ai compris.
    La leçon, c’est que « si Kurt peut se faire avoir, alors n’importe qui le peut ».
    Cette fois, les dégâts ont été très limités, mais tout le monde a ses angles morts, et c’est précisément dans ces coins négligés que ce genre de faille se cache.
    Si l’attaquant n’avait pas été un simple escroc mais quelqu’un de réellement malveillant, il aurait pu partir du compte officiel de l’entreprise pour pousser encore plus loin l’ingénierie sociale.

    • Je pense bien qu’il s’agit de ce Kurt-là.

  • Le billet lui-même est excellent, mais j’ai aussi trouvé les techniques de phishing vraiment sophistiquées.

    • J’ai entendu dire que cette arnaque de phishing est devenue courante récemment et que nous n’étions pas les seuls à nous être fait viser.
      Mais avant que cela n’arrive, je n’en savais rien.

    • J’ai trouvé l’autodérision très drôle.
      Il m’est arrivé moi aussi une ou deux fois de passer tout près de me faire avoir.
      En général, c’est juste après avoir cliqué une fois que je me disais « mince », puis je verrouillais immédiatement le compte pour éviter les dégâts.
      Image illustrant l’anecdote