13 août 2020

La sécurité de Twitter mise en doute après une série de piratages ciblant des utilisateurs célèbres

L’extraordinaire vague de piratage qui a frappé Twitter mercredi, l’amenant à museler brièvement certains de ses comptes les plus suivis, suscite des questions sur la sécurité et la résilience de la plateforme à l’approche de l’élection présidentielle américaine.

Selon Twitter, des pirates informatiques ont obtenu, mercredi en fin de journée, le contrôle des références d’employés pour détourner des comptes, notamment ceux du candidat démocrate à la présidence Joe Biden, de l’ancien président Barack Obama, de la star de la télé-réalité Kim Kardashian et du milliardaire de la technologie et fondateur de Tesla Elon Musk.

Dans une série de tweets, la société a déclaré “Nous avons détecté ce que nous pensons être une attaque coordonnée d’ingénierie sociale par des personnes qui ont réussi à cibler certains de nos employés ayant accès aux systèmes et outils internes.”

Les pirates ont ensuite “utilisé cet accès pour prendre le contrôle de nombreux comptes très visibles (y compris vérifiés) et tweeter en leur nom”.

A lire également : “Journée difficile” pour Jack Dorsey, hacker de Twitter : Ce que vous devez savoir

Les déclarations de la société ont confirmé les craintes des experts en sécurité, qui craignaient que le service lui-même – plutôt que les utilisateurs – ait été compromis.

Le rôle de Twitter en tant que plateforme de communication essentielle pour les candidats politiques et les fonctionnaires, y compris le président Donald Trump, a fait craindre que les pirates informatiques puissent faire des ravages lors de l’élection présidentielle du 3 novembre ou compromettre la sécurité nationale.

Adam Conner, vice-président pour la politique technologique au Center for American Progress, un groupe de réflexion libéral, a déclaré sur Twitter : “C’est mauvais le 15 juillet, mais ce serait infiniment pire le 3 novembre.”

BITCOIN BOUNTY

Se faisant passer pour des célébrités et des riches, les pirates ont demandé à leurs disciples d’envoyer le bitcoin de la monnaie numérique à une série d’adresses. Le soir, 400 transferts de bitcoin ont été effectués pour une valeur totale de 120 000 dollars (95 564 livres). La moitié des victimes avaient des fonds dans des échanges de bitcoins aux États-Unis, un quart en Europe et un quart en Asie, selon la société de police scientifique Elliptic.

Ces transferts ont laissé un historique qui pourrait aider les enquêteurs à identifier les auteurs du piratage. Le préjudice financier pourrait être limité car les échanges multiples ont bloqué d’autres paiements après que leurs propres comptes Twitter aient été visés.

A lire également : les poignées Twitter d’Obama, Biden et Musk piratées pour solliciter de la monnaie numérique

L’atteinte à la réputation de Twitter pourrait être plus grave. Le plus troublant pour certains est le temps qu’il a fallu à l’entreprise pour mettre fin aux mauvais tweets.

“La réaction de Twitter à ce piratage a été étonnante. C’est le milieu de la journée à San Francisco, et il leur faut cinq heures pour comprendre l’incident”, a déclaré Dan Guido, PDG de la société de sécurité Trail of Bits.

Un scénario encore pire était que la fraude au bitcoin était une distraction pour un piratage plus sérieux, comme la récolte des messages directs des titulaires de comptes.

Twitter a déclaré qu’il n’était pas encore certain de ce que les pirates avaient pu faire en dehors de l’envoi des messages bitcoin.

“Nous examinons les autres activités malveillantes qu’ils ont pu mener ou les informations auxquelles ils ont pu accéder et nous en partagerons d’autres ici dès que nous en aurons connaissance”, a déclaré la société.

Les comptes Twitter ont été compromis en masse par le vol des informations d’identification des employés ou par des problèmes avec des applications tierces que de nombreux utilisateurs utilisent déjà.

Le piratage de mercredi a été le pire à ce jour. Plusieurs utilisateurs disposant d’une authentification à deux facteurs – une procédure de sécurité qui permet de prévenir les tentatives d’effraction – ont déclaré qu’ils étaient impuissants à l’arrêter.

“Si les pirates ont accès à l’arrière-plan de Twitter, ou à une base de données directe, rien ne les empêche de voler des données en plus d’utiliser ce tweet-scam comme distraction”, a déclaré Michael Borohovski, directeur du génie logiciel de la société de sécurité Synopsys.