Actualités
Un nouveau piratage informatique sur Twitter, visant son propre patron
Un groupe de pirates informatiques est parvenu à accéder au compte Twitter de Jack Dorsey, le patron du réseau social au petit oiseau bleu.
Il s’agit du tout premier compte à avoir tweeté sur la plateforme de microblogging. « Just setting up my twttr » (je règle mon Twitter) avait pu écrire son auteur, le 21 mars 2006. Depuis, le compte de Jack Dorsey est devenu l’un des plus prisés par les pirates informatiques. Il faut dire que l’homme possédant le compte « @jack » est le cofondateur du réseau social. Depuis 2015, il a même été nommé en tant que PDG.
Malgré sa cible très populaire, le milliardaire et entrepreneur de 42 ans n’a pas connu un nombre très important d’intrusions. La dernière datait de 2016, où une entreprise spécialisée dans la cybersécurité – OurMine – s’était emparée du compte afin de prouver l’insécurité qui planait sur les réseaux sociaux. Vendredi 30 août dernier, une mésaventure d’une plus grande ampleur a touché de nouveau son compte. Des tweets racistes, haineux et agressifs ont été mis en ligne pendant plus de 20 minutes.
Le patron de Twitter s’est fait hacker son compte … Twitter
L’intrusion sur le compte de Jack Dorsey s’est donc produite vendredi dernier, aux alentours de 22 heures en France, et en pleine après-midi aux États-Unis. Plusieurs tweets ont été publiés sur le compte de @jack, et ses 4,2 millions d’abonnés. Depuis, tous les messages ont été supprimés. Mais la mésaventure continue de poser question quant à la sécurité de telles plateformes.
« Le fait que le compte de @jack ait été piraté n’inspire pas confiance dans la plate-forme Twitter, qui plus est peu avant une élection fédérale au Canada », a tweeté Michelle Rempel Garner, une élue conservatrice canadienne. D’autant plus qu’à en croire les pistes de l’enquête pour tenter de comprendre comment les pirates informatiques ont procédé, le problème viendrait d’une fonctionnalité utilisée depuis très longtemps chez Twitter.
Comment #ChucklingSquad s’est emparé du compte Twitter de Jack Dorsey ?
Les auteurs du piratage ont signé leur intrusion par un hashtag, déposé sur les premiers tweets publiés sur la plateforme. Il s’agit de #ChucklingSquad, un groupe ayant déjà fait du bruit sur la toile ces derniers jours, grâce à une vague de prise de contrôle de comptes de réseau sociaux.
so @jack was hacked pic.twitter.com/BfOsaKleZp
— Talia Lavin (@chick_in_kiev) August 30, 2019
Pour mener à bien leur objectif, les auteurs ont en réalité utilisé une faille à la fois interne et externe à la plateforme Twitter. Une piste encore à l’étude, mais dont le service de communication de Twitter a confirmé la potentialité.
Sur chacun des tweets publiés, figurait la mention de la provenance de la mise en ligne. Au lieu d’être l’application Twitter ou le site web du réseau social, figurait le nom de CloudHopper, une entreprise rachetée par Twitter et l’aidant à conserver son service de publication de tweets par SMS. Une méthode de mise en ligne qui rappelle les débuts de la plateforme de microblogging, où chaque tweet pouvait être envoyé depuis un numéro de téléphone, en envoyant un SMS à un numéro consacré.
Les auteurs du piratage auraient ainsi utilisé ce service. Pour ce faire, ils auraient profité d’un changement de carte SIM de Jack Dorsey, auprès de l’opérateur AT&T. « Le numéro de téléphone associé au compte a été compromis à cause d’une faille de sécurité du fournisseur mobile », déclarait le service de communication de Twitter, via la plateforme. Ainsi, les hackers auraient pu accéder au compte de @Jack via ce moyen.
The phone number associated with the account was compromised due to a security oversight by the mobile provider. This allowed an unauthorized person to compose and send tweets via text message from the phone number. That issue is now resolved.
— Twitter Comms (@TwitterComms) August 31, 2019
A l’heure actuelle, l’enquête se poursuit et Twitter a indiqué avoir résolu la faille qui avait été utilisée. On ignore toutefois si AT&T est effectivement fautive. Au lendemain de la mésaventure, Brandon Borrman, vice-président des communications mondiales chez Twitter, a informé que cette omission de sécurité « permettait à une personne non autorisée de composer et d’envoyer des tweets par SMS à partir du numéro de téléphone ».