Séisme dans le monde de la Tech : le 15 juillet, des comptes de célébrités commencent à tweeter de manière étrange, pendant que sur certains réseaux des identifiants Twitter sont revendus. Rapidement Twitter reconnait qu’il est victime d’un piratage massif. Une vulnérabilité extrêmement inquiétante pour une plateforme très utilisée par les politiciens, notamment par le président Donald Trump. Dans un article du 17 juillet, le New York Times raconte avoir pu échanger avec certains des hackers.

Les pirates discutent de l’attaque de Twitter la veille, sur Discord

130 comptes ciblés, 45 comptes dont ceux de Jeff Bezos, Elon Musk, Joe Biden, Kanye West, Apple… utilisés pour envoyer des tweets pour arnaquer des utilisateurs, 8 comptes, non certifiés, ont eu leurs données aspirées grâce à l’option « Your Twitter Data ». Des identifiants revendus, des arnaques mises en place pour récupérer l’équivalent de 120 000 dollars en Bitcoin provenant de 400 à 510 paiements selon les cabinets d’experts. Des comptes pourraient encore être bloqués par Twitter par mesure de sécurité. C’est le bilan de l’attaque subie par Twitter le 15 juillet. Déjà conséquent, il aurait pu être beaucoup plus élevé.

La veille de l’attaque, sur Discord, une personne surnommée Kirk entre en contact avec deux autres utilisateurs, « lol » et « ever so anxious ». Il explique à ses interlocuteurs « Je travaille sur twitter / ne le montre à personne / sérieusement » rapporte le New York Times. Kirk est un pseudonyme relativement méconnu dans le milieu du hacking. Son profil Discord a été créé le 7 juillet seulement. Il s’adresse à lol et ever so anxious parce que ces derniers fréquentent OGusers.com. C’est un site où s’achètent et se revendent des pseudonymes très prisés sur les réseaux sociaux, souvent dotés d’une lettre ou un chiffre @y, @6. Après avoir fourni les preuves de sa capacité à s’emparer des comptes, l’affaire commence, d’abord en douceur. Lol négocie le nom d’utilisateur @y 1 500 dollars en Bitcoin. L’argent est à verser dans un compte qui se révèle être également utilisé pour amasser de l’argent sur les profils des célébrités. Très vite les demandes affluent et le rythme s’accélère. Les pages de célébrité n’ont pas encore publié leurs arnaques au Bitcoin.

Derrière ce piratage retentissant, il semble n’y avoir que l’appât du gain de jeunes hackers. Lol a déclaré au Times avoir une vingtaine d’années et vivre sur la côte ouest Américaine. Ever so anxious, lui, a expliqué avoir 19 ans et vivre chez sa mère dans le sud de l’Angleterre. Si les deux individus ont bien voulu s’exprimer, c’est pour expliquer qu’ils n’ont fait que revendre des adresses Twitter et qu’ils ont cessé vers 15h30, heure de New York, lorsque les comptes de célébrités ont commencé à publier. Dans une discussion Discord obtenue par le Times, ever so anxious a tout de même exprimé sa déception face à l’impact financier du piratage « Je ne suis pas triste, je suis juste ennuyé. Je veux dire qu’il n’a gagné que 20 btc ». 20 Bitcoins équivalent à environ 180 000 dollars. Kirk, lui, a disparu dans la nature.

Des dégâts circonscrits au vu des accès obtenus par les pirates

Twitter a de la chance dans son malheur dans pour l’instant. Au vu de la gravité des faits et des données (comme l’ensemble des messages personnels des comptes volés) auxquelles ont eu potentiellement accès les pirates, la situation pourrait être bien pire. Interrogé par CNBC, Alex Stamos, ancien chef de la sécurité de Facebook a proposé une image parlante, « L’agression c’est au niveau d’un vol de Formule 1 McLaren, puis d’une balade en voiture et d’un accident dans un poteau téléphonique 4 minutes plus tard ».

Kirk se montre évasif sur le comment il a volé la « McLaren ». Il a réussi à s’introduire dans une discussion Slack, interne à Twitter, où des employés pouvaient s’échanger des logins et mot de passe. Il aurait ainsi réussi à accéder à certains outils internes de la société. Les systèmes de réinitialisations des mots de passe de l’entreprise sont mentionnés. C’est par ce biais que 45 comptes ont été piratés sans forcément besoin de compromettre directement leurs mots de passe.

Manipulation des employés ou pot de vin ?

Twitter explique, dans un post mis à jour le 18 juillet, que « les attaquants ont réussi à manipuler un petit nombre d’employés et à utiliser leurs identifiants pour accéder aux systèmes internes de Twitter, y compris en passant par nos protections d’identification à deux facteurs ». Le ou les pirates semblent avoir tout simplement utilisé du social engineering pour obtenir ce qu’ils recherchaient. Exploiter des failles humaines plutôt que celle des programmes.

Le média Motherboard va plus loin. Dès le 16 juillet, la rubrique Tech de Vice affirme, en se basant sur des sources anonymes, que des employés intermédiaires n’auraient pas seulement été manipulés, mais carrément achetés. Ce ne serait pas la première fois qu’un employé de Twitter dérape. En 2019 deux ex-salariés ont été accusés d’avoir espionné des opposants à l’Arabie Saoudite avec un ressortissant du pays. En 2017 un employé a suspendu, par accident selon Twitter, le compte de Donald Trump une dizaine de minutes.

La situation a beaucoup inquiété le FBI. Twitter est un lieu de débat politique important et est de plus en plus utilisé par les administrations pour échanger avec les citoyens. Une manipulation plus subtile que celle des pirates aurait pu avoir des conséquences importantes. En 2013, des hackers pro Bachar al-Assad étaient parvenus à pirater le compte de la célèbre agence Associated Press. En expliquant dans un faux tweet que le président de l’époque, Barack Obama, était blessé à la suite d’une explosion à la Maison Blanche, le cours de Wall Street avait momentanément baissé. Twitter compte environ 166 millions d’utilisateurs actifs, ce qui peut sembler faible vis-à-vis d’autres réseaux sociaux, mais a un impact sur le monde réel.

La vulnérabilité dont a fait preuve la plateforme donne quelques frissons. Sur son blog le réseau social a fait amende honorable, « Nous sommes très conscients de nos responsabilités envers les personnes qui utilisent notre service et envers la société en général. Nous sommes gênés, déçus et surtout, nous sommes désolés ». Un discours logique, et naïf, similaire à celui de Facebook après Cambridge Analytica. Des améliorations, des formations devraient permettre d’éviter qu’un tel piratage se reproduise. Il faut l’espérer.