Twitter s'excuse du spectaculaire piratage mené grâce à certains de ses employés


Washington, Etats-Unis | AFP | samedi 18/07/2020 - Les hackers qui ont orchestré la spectaculaire attaque sur des comptes Twitter de célébrités et de personnalités politiques ont "manipulé avec succès un petit nombre d'employés" de Twitter, affirme samedi le réseau social, qui s'excuse et se dit conscient du coup porté à la confiance des utilisateurs.

Twitter précise qu'au total les pirates informatiques ont visé 130 comptes et ont réussi à pénétrer dans 45 d'entre eux, grâce "à l'utilisation d'outils uniquement accessibles aux équipes de soutien interne".

C'est un tout petit nombre par rapport au nombre total d'usagers (environ 330 millions d'usagers mensuels ou 166 millions d'usagers quotidiens) mais parmi ces comptes piratés se trouvaient des responsables politiques comme le candidat démocrate à la présidentielle Joe Biden, l'ancien président Barack Obama et de grands patrons comme Jeff Bezos, le fondateur d'Amazon, Elon Musk, le patron de Tesla ou encore Bill Gates, le fondateur de Microsoft.

Twitter reconnaît sans peine les dégâts pour sa réputation.

"Nous sommes embarrassés, déçus et avant toute chose nous sommes désolés. Nous savons qu'il nous faut regagner votre confiance et nous soutiendrons tous les efforts faits pour que les responsables soient jugés", peut-on lire sur son blog.

Doubler la mise

En l'occurrence, l'objectif des pirates semblait de faire de l'argent vite fait, si on en croit leur mode opératoire.

A partir des comptes piratés, les hackers ont envoyé des messages aguicheurs incitant les abonnés à envoyer des bitcoins, une crypto monnaie, en échange du double de la somme envoyée.

Selon des sites spécialisés qui enregistrent les échanges de bitcoins mais ne permettent pas de tracer les récipiendaires, quelque 100.000 dollars ont ainsi été envoyés. 

Twitter a précisé samedi que pour huit de ces comptes, les hackers ont aussi téléchargé des données, qui sont normalement uniquement accessibles au propriétaire du compte.

Aucun de ces comptes n'était certifié, c'est-à-dire doté du petit badge bleu distinctif qui en accroît la crédibilité et donne certains privilèges aux utilisateurs. 

Twitter a aussi indiqué que grâce aux outils dont ils avaient pris le contrôle, les pirates informatiques ont réussi à passer la barrière de la double authentification qui permet normalement de sécuriser un compte au-delà du simple mot de passe.

Cette action, sur laquelle le FBI a ouvert une enquête, a déclenché un débat sur la sécurité des plateformes sociales à quelques mois du scrutin présidentiel de novembre aux Etats-Unis mais aussi sur les conséquences possibles si des hackers arrivaient à s'emparer du compte de Donald Trump, qui mène souvent sa diplomatie sur Twitter, où il compte 83,5 millions d'abonnés.

Mercredi, @realdonaldtrump n'a pas été hacké.

Le téléphone de Kanye?

Twitter n'a donné pour l'heure aucun détail sur les employés mêlés à ce piratage, pas plus que sur l'identité des hackers.

Ces derniers ont eu accès à des informations personnelles des détenteurs des comptes, y compris des adresses de courriel et des numéros de téléphone.

Dans le cas des comptes qui ont été hackés, les pirates ont eu accès à "plus d'informations", indique Twitter, précisant que ses équipes d'enquêteurs continuent à déterminer exactement lesquelles.

Selon le New York Times, tout est parti d'un mystérieux hacker opérant sous le nom de "Kirk" et disposant d'accès internes.

Les informations recueillies par le quotidien semblent ainsi écarter la thèse d'une attaque orchestrée par un Etat ou par un groupe connu de hackers.

Le piratage a été effectué "par un groupe de jeunes", dont l'un dit encore vivre chez sa mère, et qui se sont rencontrés à cause de leur obsession pour les noms d'utilisateurs difficiles à obtenir, écrit le New York Times.

Les hackers interrogés par le quotidien ont affirmé n'avoir participé qu'à la prise de contrôle de comptes moins connus, mais aux noms prisés par certains internautes, afin de les revendre contre des bitcoins. 

Il s'agissait de comptes dont le nom d'utilisateur ne comporte par exemple qu'une lettre ou un chiffre, ce qui est notamment le gage d'une présence sur le réseau social depuis ses débuts.

le Lundi 20 Juillet 2020 à 04:44 | Lu 278 fois