Twitter se prépare aux élections américaines avec des tests d’intrusion

Twitter se prépare aux élections américaines avec des tests d'intrusion

Twitter travaille depuis plusieurs mois à renforcer sa sécurité interne en demandant à son personnel de suivre une formation supplémentaire en matière de sécurité, en effectuant des tests d’intrusion et en déployant des clés de sécurité matérielles pour tous les employés.

Les mesures annoncées ce jour s’inscrivent dans le cadre des efforts déployés par Twitter pour éviter que le piratage de juillet dernier ne se reproduise lors de l’élection présidentielle américaine qui aura lieu plus tard cet automne.

En juillet, des pirates ont hameçonné le personnel de Twitter, ont accédé à sa plateforme interne, puis ont tweeté une escroquerie via des comptes très médiatisés et vérifiés. Certains des comptes falsifiés appartenaient à des personnalités politiques, dont le candidat présidentiel Joe Biden.

Dans un récent billet de blog de Parag Agrawal, directeur technique de Twitter, et Damien Kieran, responsable de la protection des données sur Twitter, la société a déclaré avoir appris sa leçon et avoir pris des mesures correctives en conséquence.

publicité

Le personnel est invité à suivre une formation à la sécurité

La première de ces mesures a consisté à exiger que tous les nouveaux employés suivent une « formation à la sécurité et à la protection de la vie privée ». Twitter a également introduit de nouveaux cours et a augmenté la fréquence et la disponibilité des cours existants pour tous les employés.

Enfin, le groupe a également introduit deux nouvelles sessions de formation obligatoires pour les personnes qui ont accès à des informations non publiques stockées dans ses outils de gestion.

« Ces formations indiquent clairement les choses à faire et à ne pas faire lorsqu’on accède à ces informations et permettent aux employés de comprendre comment se protéger lorsqu’ils sont en ligne afin de mieux éviter de devenir la cible d’hameçonnage des attaquants », ont déclaré les auteurs de l’article.

Les employés utilisent désormais des clés de sécurité matérielles

D’autres modifications ont également été apportées au codage sécurisé, à la modélisation des menaces et aux lignes directrices relatives à l’impact sur la vie privée, de sorte que les futurs outils internes de gestion seront développés avec davantage de fonctions de sécurité dès le départ.

Mais comme le piratage de juillet a commencé par une attaque de phishing, les employés de Twitter ont également reçu des clés de sécurité matérielles de l’entreprise. Les employés doivent utiliser ces clés de sécurité pour accéder à différentes sections de l’infrastructure de Twitter.

Même si un attaquant met la main sur les informations d’identification d’un employé de Twitter, la clé de sécurité rend impossible pour l’attaquant d’accéder à tout service Twitter sans la clé appropriée attachée à chaque paire de nom d’utilisateur et de mot de passe.

Scénarios d’intrusion

Toutefois, Twitter garde également un œil sur la situation globale, à savoir les prochaines élections présidentielles américaines, un événement important dans l’histoire des États-Unis, au cours duquel l’entreprise s’attend à être éventuellement ciblée à nouveau.

Pour se préparer à cela, Parag Agrawal et Damien Kieran ont annoncé que Twitter avait soumis son personnel à des simulations de pénétration pour tester la sécurité de sa propre plateforme dans un environnement contrôlé. « Plus précisément, sur une période de cinq mois allant du 1er mars au 1er août, l’équipe électorale inter-fonctionnelle de Twitter a mené en interne des exercices sur des scénarios électoraux spécifiques », ont-ils déclaré.

« Parmi les sujets abordés, on peut citer : les piratages et autres incidents de sécurité, les fuites de matériel piraté, les activités de manipulation de plateforme, l’ingérence étrangère, les campagnes coordonnées de suppression des électeurs en ligne et la période post-électorale ».

Les autres mesures prises par la société pour protéger les élections américaines et limiter l’ingérence étrangère ont été d’imposer de nouvelles règles de sécurité pour les comptes politiques américains, de lancer un centre électoral américain dédié pour lutter contre la désinformation et de modifier ses règles sur ce qui est considéré comme de la désinformation électorale.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *