Récemment, des comptes de personnes célèbres ont été piratés sur Twitter dans le but d’arnaquer des followers avec de fausses promesses de dons caritatifs et leur dérober des cryptomonnaies.
Près de cent mille euros auraient été détournés selon des chiffres qui circulent. Pour découvrir le ou les auteurs de cette retentissante arnaque, l’État de New York, le FBI ainsi que des chercheurs en cybersécurité ont ouvert des enquêtes en parallèle pour remonter la piste des auteurs de cette cyberattaque. L’affaire est d’importance, puisqu’il s’agit aussi de lever le doute, une fois pour toutes, sur d’éventuelles complicités internes chez Twitter. Rappelons que le cybercriminel, il s’agirait en effet d’un cybercriminel, a utilisé un accès administrateur à l’outil de gestions des comptes de Twitter. Une application qui aurait dû être sanctuarisée, vu son importance et les droits qu’elle octroie aux possesseurs des codes d’accès.
Selon des informations, qui restent à confirmer, ce méfait serait l’œuvre d’un étudiant britannique de 21 ans vivant en Espagne. Connu pour utiliser la technique du SIM Swapping, il aurait piraté le compte d’un ancien employé de Twitter pour avoir accès à des outils internes. Le SIM Swapping consiste à voler l’identité de quelqu’un, puis à tromper un employé d’un opérateur mobile pour rediriger le numéro de téléphone de la victime vers une autre carte SIM. Cette technique nécessite de montrer patte-blanche auprès de l’opérateur, en fournissant des informations d’authentification comme le numéro de sécurité sociale ou la date de naissance du possesseur du compte… Il faut donc disposer des ces informations, ce qui s’obtient via de l’ingénierie sociale par exemple.
Une enquête à plusieurs zones d’ombre
Cette version laisse plusieurs questions sans réponse, car comment un ancien employé est-il toujours en possession d’identifiants valides ? Les mesures de sécurité les plus élémentaires recommandent de changer les identifiants de tous les outils auxquels peut avoir accès un employé sur le départ. De plus, les informations auraient été volées sur le téléphone portable de celui-ci, ce qui laisse perplexe, car, là aussi, toutes les consignes de sécurité recommandent de ne pas échanger ou enregistrer des identifiants sur un smartphone, et à fortiori des identifiants appartenant à son employeur, et, encore plus à fortiori, si cet employeur s’appelle Twitter et qu’il gère les comptes de presque toutes les célébrités du monde, y compris celui du président des USA. Il y a tellement d’applications qui accèdent à toutes sortes d’informations sur un smartphone, que la bourde, si c’en est une, paraît invraisemblable. Les zones d’ombre dans cette affaire sont nombreuses et l’enquête aidera à y voir plus clair, à moins qu’elle ne serve à échafauder des explications capilotractées pour couvrir les inconséquences de Twitter ou l’indélicatesse d’un de ses employés. L’avenir nous le dira.
Ayant un accès administrateur sur Twitter, ce ou ces cybercriminels pourraient se lancer dans des attaques plus graves, telles que la perturbation des élections présidentielles, le déclenchement d’un conflit entre deux entreprises, ou même un conflit commercial ou politique entre deux nations. Jusqu’à présent, le supposé cybercriminel aurait piraté près de 130 comptes appartenant à des entreprises dans la majorité des cas. Son unique but aurait été d’extorquer des bitcoins avec de fausses promesses. Pour parer à toute éventualité, Twitter a annoncé avoir renforcé la sécurité de son système et a invité tous ses utilisateurs à vérifier leurs comptes et renforcer également leurs mots de passe.