Des nuages sombres à l'horizon de Twitter - qu'en est-il de la sécurité des comptes ? Source : THE BUSINESS TIMES

En coulisse

La technique effroyablement simple derrière le piratage du compte Twitter de Jack Dorsey

3/9/2019

Traduction: traduction automatique

Pendant 15 minutes, le compte Twitter du PDG Jack Dorsey était entre les mains de quelqu'un d'autre. Des personnes non autorisées ont utilisé le SIM-swapping pour y accéder. Pour savoir pourquoi Twitter est si vulnérable à ce piratage, cliquez ici.

Chuckling Squad, comme se nomme le groupe responsable, a publié des messages antisémites au nom du PDG de Twitter et un lien vers leur canal Discord. Peu de temps après, la panne a été réparée et les tweets supprimés. Cet incident montre que même le patron d'une grande entreprise de médias sociaux n'est pas à l'abri d'un accès étranger. Mais comment un tel incident a-t-il pu se produire?

Cloudhopper : une bénédiction et une malédiction à la fois

Les pirates ont accédé au service de text-to-tweet : Cloudhopper - c'est le nom de la société derrière le service - permet aux utilisateurs de Twitter d'envoyer leurs tweets sous forme de SMS à un numéro court et de publier ainsi leurs 280 caractères. Une fonctionnalité utile pour tous ceux qui n'ont pas de smartphone ou qui ne peuvent pas accéder à l'application ou au site Twitter.

Le travail de Chuckling Squad : les faux tweets de Jack Dorsey. Source : Sputnik International

Pour cela, il suffit d'associer son numéro de téléphone portable à son compte Twitter. Pour de nombreux utilisateurs, ce lien existe déjà, pour des raisons de sécurité - quelle ironie. Un pirate n'a donc besoin que de contrôler votre numéro de téléphone et vous ne vous rendez même pas compte que quelqu'un tweete en votre nom.

Mise à jour du 05/09/19: Pour l'occasion, Twitter a temporairement désactivé la fonction text-to-tweet .

(K)un bug dans le système

Prendre le contrôle d'un numéro de téléphone, cela semble difficile. En principe oui, mais pas impossible, comme le montre l'affaire Dorsey. Selon un Tweet - ironie du sort - la Chuckling Squad a eu accès au numéro du CEO de Twitter suite à une erreur (humaine) de l'opérateur de téléphonie mobile.

Bien que l'opérateur de téléphonie mobile ait parlé d'une erreur, cette tactique n'est pas nouvelle. Aussi connu sous le nom de piratage de carte SIM, des inconnus prennent le contrôle de votre numéro de téléphone en convainquant votre opérateur d'écraser votre numéro de téléphone sur une nouvelle carte SIM. Bien entendu, ils pensent que c'est dans votre intérêt. D'où le terme d'"erreur".

La carte SIM physique seule ne vous offre pas de protection numérique. Source : The Daily Dot

Trop simple pour être sûr?

En général, cette technique est utilisée pour les vols de bitcoins ou de profils Instagram. Dans la plupart des cas, il suffit aux criminels en ligne d'un mot de passe divulgué pour prendre le contrôle. En utilisant un PIN auprès de votre opérateur de téléphonie mobile, vous vous protégez en outre contre de tels agissements criminels. Vous pouvez également sécuriser votre compte en créant une identité virtuelle artificielle - mais cela nécessite plus que les connaissances techniques de base dont dispose l'utilisateur moyen de téléphone portable.

C'est précisément en raison de la simplicité relative de cette attaque - les pirates ne sont certainement pas des utilisateurs moyens - que le SIM-swapping est si populaire auprès des cybercriminels. Et, comme le montre l'affaire Dorsey, avec succès.

Ah, comme c'est bien que personne ne sache...

Les filles et les garçons de Chuckling Squad font ce numéro depuis quelques années déjà. Des douzaines d'influenceurs Insta et de célébrités Youtube en ont déjà fait les frais. Qu'il s'agisse d'images dérangeantes ou de citations racistes, les gangsters en ligne ne reculent devant rien. Et ils ne se cachent même pas, bien au contraire. A chaque fois, ils mentionnent leur nom dans les comptes piratés, que ce soit via des hashtags ou dans des flux en direct. Comme pour Dorsey, ils essaient également d'inciter les gens qui apprécient leurs soldes à rejoindre leurs serveurs Discord ou à les suivre sur Twitter.

Il est lui aussi victime du Chuckling Squad : Shane Dawson, la star de Youtube. Source : Metro

Aqua, le leader de ce gang en ligne louche, et ses pairs semblent avoir pris un plaisir particulier à AT&T aux États-Unis - c'est d'ailleurs le fournisseur du PDG de Twitter. On ne sait pas encore pourquoi les pirates d'AT&T parviennent si souvent à prendre le contrôle des numéros de téléphone de tiers. Jusqu'à présent, le grand groupe américain n'a pas souhaité faire de déclaration au micro.

Un vieux truc revisité

L'approche du piratage Dorsey, ou SIM-swapping, existe depuis bien plus longtemps que la Chuckling Squad elle-même. En effet, tout système qui permet à l'utilisateur de créer et d'envoyer un tweet plus facilement facilite automatiquement la prise de contrôle du compte de l'utilisateur par un malfaiteur en ligne.

Il y a trois ans, Dorsey avait déjà été victime d'une attaque en ligne. A l'époque, des pirates avaient envoyé des tweets indécents au nom du PDG de Twitter via des plug-ins tiers autorisés qui n'étaient plus utilisés, mais qui avaient toujours l'autorisation d'accéder au compte. Lorsque la technique du SIM-swapping a connu un boom et que ces plugins n'étaient plus guère utilisés, les pirates ont également changé de méthode.

Twitter, quo vadis?

Ok, le SIM-swapping et autres ne sont pas nouveaux. Ce n'est pas non plus la première fois que Jack Dorsey tombe dans un piège de pirates. Et pourtant, la question formulée au début de cet article est toujours d'actualité : comment cela a-t-il pu arriver?

Toutes les bonnes choses ont-elles bientôt trois hacks, Jack ? Jack Dorsey, PDG de Twitter. Source : KoinVizyon

Clairement, l'incident est embarrassant pour Twitter. Mais l'embarras de cette gaffe n'est guère comparable à des restes de nourriture dans un trou de dent ou à des taches sur une cravate. Il s'agit d'une faille de sécurité numérique sérieuse - et bien connue. Non seulement les experts, mais aussi les profanes connaissent les possibilités et les dangers du SIM-swapping depuis près d'une décennie.

Cet incident témoigne d'une bonne dose d'ignorance de la part de Twitter et de ses supérieurs. Le géant des médias sociaux est également coupable d'un manque de discernement lorsqu'il s'agit de la sécurité et de la confidentialité des comptes d'utilisateurs. Twitter a-t-il pris un coup de vieux ?

Il reste à espérer que cet incident servira de leçon à Twitter et que l'entreprise à l'oiseau prendra ses distances avec la vérification des SMS.

Photo d’en-tête : Des nuages sombres à l'horizon de Twitter - qu'en est-il de la sécurité des comptes ? Source : THE BUSINESS TIMES

Cet article plaît à 21 personne(s)

Raphael Knecht

Senior Editor

raphael.knecht@digitecgalaxus.ch

Quand je ne suis pas en train de me bourrer de sucreries, vous me trouverez dans un gymnase: je suis joueur et entraîneur passionné d’unihockey. Quand il fait mauvais, je bidouille mon PC assemblé par mes soins, des robots et autres jouets électriques. La musique m’accompagne de partout. Les sorties VTT en montagne et les sessions de ski de fond intenses font aussi partie de mes loisirs.

Informatique

Suivez les thèmes et restez informé dans les domaines qui vous intéressent.

Informatique

Suivez les thèmes et restez informé dans les domaines qui vous intéressent.

Ces articles pourraient aussi vous intéresser

En coulisse
« Les Sims », 25 ans d’histoires
par Michelle Brändle
En coulisse
Un harceleur trouve sa victime en se reflétant dans des selfies
par Dominik Bärlocher
En coulisse
Meta sous pression, partie 1 : comment Facebook est devenu moins cool
par Samuel Buchmann

5 commentaires

later