En bref
Que s'est-il passé ?
Des employés de Dropbox sont visés par un hameçonnage imitant CircleCI : une fausse page demande identifiants GitHub et OTP, donnant à l'attaquant l'accès à une organisation GitHub de Dropbox.
Avec les identifiants volés, l'attaquant clone 130 dépôts GitHub privés. La page de phishing capturait aussi le mot de passe à usage unique, contournant une partie de la protection.
Les dépôts contenaient des copies modifiées de bibliothèques tierces, des prototypes internes et des outils et configs de l'équipe sécurité, plus quelques milliers de noms et e-mails. Les comptes clients, mots de passe et paiements n'ont pas été touchés.
MFA résistante au phishing (FIDO2/WebAuthn, non hameçonnable), formation anti-phishing, vérification des domaines des outils CI, et moindre privilège des accès aux organisations GitHub.
Comment l'attaquant a procédé
Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :
La leçon à en tirer
MFA résistant au phishing (FIDO2) ; méfiance des notifications d'outils CI ; moindre privilège SCM.
Les exigences SOCLE qui auraient limité cet incident
Cet incident se rattache à 31 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :