Après une attaque déjouée, le compte Twitter du Monde piraté cette nuit

Après une attaque déjouée, le compte Twitter du Monde piraté cette nuit

La gestion des comptes Twitter encore remis en question...

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

21/01/2015 5 minutes
60

Après une attaque déjouée, le compte Twitter du Monde piraté cette nuit

Cette nuit, le compte Twitter du Monde était piraté par l'Armée électronique syrienne qui en a profité pour diffuser des messages de propagande. Un peu plus d'une heure plus tard, le compte était suspendu. L'aboutissement d'une série d'attaques visant le quotidien français.

En début de semaine, le Monde déjoue (partiellement) une attaque par phishing

Hier, Le Monde publiait un long et intéressant billet afin d'expliquer comment le journal avait été « piraté par l'Armée électronique Syrienne ». L'histoire commence dimanche 18 janvier par une vague d'envoi de mails de phishing visant certains journalistes, le but étant de récupérer identifiants et mots de passe.

Pour nos confrères, le but de la manoeuvre est clair : « une information précise les intéressait : le mot de passe du compte Twitter du Monde.fr et ses plus de 3 millions d'abonnés. Leurs cibles initiales ne laissent guère de doute : il s'agit de journalistes disposant des codes d'accès aux réseaux sociaux et de journalistes haut placés dans la rédaction ». De plus, au moins une boite mail a été forcée afin d'envoyer le message suivant à une personne disposant effectivement du précieux sésame : « Je ne peux pas vous connecter à Twitter, c'est le mdp ? ».

Si l'attaque a donné des résultats, le mot de passe du compte Twitter n'avait pas été récupéré. Le journal annonce en effet que, « malheureusement pour les pirates, les équipes du Monde.fr, conscientes des risques, n'avaient jamais échangé de mots de passe par courrier électronique ni messageries instantanées ». Et au final, si le groupe de pirates a réussi à créer des brouillons dans l'interface de publication, cela n'est finalement pas allé plus loin puisque « une heure plus tard, le constat est rassurant : aucun faux article n'a été mis en ligne, grâce à un mécanisme de sécurité interne qui a fonctionné. » 

Si l'équipe n'a pas précisé de quel type de mécanisme il s'agit, elle indique que suite à ces tentatives elle a fait l'objet d'une série d'attaques par déni de service, mais que tout était rentré dans l'ordre hier matin et qu'une plainte allait être déposée. Fin de l'histoire ? Pas tout à fait.

Dans la nuit, le compte Twitter du Monde se fait pirater

Dans la nuit, des pirates se revendiquant comme étant de l'Armée électronique Syrienne ont finalement pris possession du compte Twitter du Monde (plus de 3,3 millions d'abonnés) et ont publié un premier message de propagande à 00h38, suivit par un deuxième à 1h03, avant que la cadence ne s'accélère.

Il faudra alors attendre 1h36 pour que les tweets soient effacés, du moins en partie. En effet, si les messages de propagande ont disparu, la description du compte indiquait alors toujours « Bienvenue sur le fil d'actualité du Monde.fr. Compte piloté par @Official_SEA16 (juste pour l'instant) » et un RT douteux trainait également selon nos constatations :

Twitter Le Monde

Dans la foulée, Michaël Szadkowski (rédacteur en chef adjoint des Internets du Monde),  indiquait que le groupe était « au courant du piratage » et qu'il prenait « les mesures nécessaires ». Cela n'empêche pas les pirates de reposter des nouveaux messages, avant que le journal ne prenne une décision plus radicale : couper le compte. Quoi qu'il en soit, le retour à la normale était annoncé à 3h44 ce matin. Notez que, pendant ce temps, le compte Facebook du Monde n'a subi aucune perturbation.

Le Monde n'a pour le moment donné aucune explication sur la manière dont les pirates ont pu récupérer les informations de connexion. Dans un court papier publié ce matin, il est simplement précisé que « les pirates ont en effet récupéré le mot de passe et révoqué tous les accès : il est impossible de supprimer les messages ou de changer à nouveau le mot de passe ». Avant d'ajouter qu'« une plainte sera déposée dans les prochaines heures, notamment pour intrusion et maintien frauduleux dans un système informatique ».

La gestion des comptes Twitter doit-elle être renforcée ?

Une prise de contrôle qui soulève une question qui reste malheureusement toujours sans réponse : quand est-ce que Twitter se décidera-t-il a proposer des outils de gestion plus avancés pour les comptes gérés par plusieurs personnes et à renforcer ses procédures de sécurité, comme peuvent le faire Facebook ou Google ? L'histoire a en effet tendance à se répéter au fil du temps. On se souviendra du piratage du compte d'Associated Press là encore suite à une vague de phishing, de celui de la Fox ou bien du cas d'Auchan.

Dans le cas du Monde, mais aussi de nombreux autres groupes, plusieurs community manager se relayent afin d'animer le compte tout au fil de la journée. Problème, il n'existe pas de manière simple de partager un accès : il faut obligatoirement s'échanger le mot de passe du compte qui ne peut être officiellement administré que par un seul utilisateur, ce qui est tout sauf pratique.

Une solution déjà exploitée sur Facebook et Google+ permet d'associer des tiers et de leur attribuer des droits, ou de les révoquer d'un simple clic. C'est d'ailleurs aussi une solution exploitée par... Twitter, mais uniquement pour la gestion des comptes publicitaires. Car c'est vers là que vont depuis quelques temps tous les efforts du service. Il aura ainsi fallu attendre l'année dernière pour voir débarquer la connexion en deux étapes, il n'y a toujours pas de système d'alerte par mail ou de liste des dernières connexions avec possibilité de révoquer une session, etc. Il serait temps qu'un réseau social d'une telle importance prenne enfin sérieusement la question en main.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

En début de semaine, le Monde déjoue (partiellement) une attaque par phishing

Dans la nuit, le compte Twitter du Monde se fait pirater

La gestion des comptes Twitter doit-elle être renforcée ?

Commentaires (60)


Il ne fallait pas fanfaronner ^^ 


Le MDP entre FB et Twitter semble différent, c’est déjà pas mal.



Après pour l’identification plus sécurisé sur Twitter, je doute que cela change quelque chose. Tant que les gens se font avoir avec du bon vieux phishing , tu ne pourra jamais combler la faille de l’ICC.


Non, c’est juste qu’une page Facebook, ce n’est pas un compte Facebook. Donc il y a des mots de passe personnels, protégés par différents systèmes mis en place par Facebook, l’accès à la page étant administré. Sur Twitter, une page ou un compte c’est pareil, et la sécu, c’est encore assez basique comme le prouvent toutes ces prises de contrôle. 


Ils recrutent au berceau dans l’armée Syrienne ou c’est moi qui prend de l’âge !

En plus tout content de déclarer le contrôle du compte “pour l’instant”<img data-src=" />



&nbsp;


Très bon article, merci


Il n’y a pas des services comme Hootsuite qui permettent justement l’utilisation collaborative de Twitter ?


Jamais compris . l’armée electronique syrienne ce sont les “rebelles” ou ceux de bacchar ? Je vois pas ce que ça leur apporte si c’est le gouverment. Surtout pour foutre un message blanc sur noir comme Daesh.. Dans leur langue si c’était le gouvernement ils auraient au moins foutu en anglais pour que les gens comprennent plus facilement


Je suis partie voir leur twitter et c’est plutôt l’apologie de Bashar Al Assad.



Mais en même temps on dirait plus un compte parodique qui vente ses exploits sous couverture de l’armée Syrienne que d’une agence secrète…


Bah ça change quoi in fine ? Tu déportes juste le problème, il faut que tout le monde puisse avoir accès au mot de passe pour activer l’accès à son compte Hootsuite. C’est à Twitter d’implémenter la gestion de compte partagée et de proposer des outils afin d’en assurer au mieux la sécurité.








News a écrit :



La gestion des comptes Twitter doit-elle être renforcée ?







Utilisons la cyber-puissance de cyber-réfléxion de notre cyber-gouvernement : mettons des cyber-militaires en poste devant chaque compte Twitter sensible ! <img data-src=" />



Il ne fallait pas mettre LeMonde1 comme mot de passe de compte Twitter&nbsp;<img data-src=" />


Un groupe qui se dit Syrien et non affilié aux terroristes… Franchement si c’est vrai, ils ont pas mieux à faire en ce moment là-bas ?


Pour se transmettre des mots de passe différents par mail on peut imaginer une sorte de code récurrent type : mot de passe global + code en rapport avec le site (2 premières lettres et 2 dernières lettres du nom du site par exemple) + variable. Et ensuite ne s’échanger que la variable, inutilisable seule. Bon évidemment ça comporte de gros risques aussi si le tout est découvert.








GentooUser a écrit :



Un groupe qui se dit Syrien et non affilié aux terroristes… Franchement si c’est vrai, ils ont pas mieux à faire en ce moment là-bas ?





En gros c’est comme les chasseurs au final, il y a les bons et les autres….









linkin623 a écrit :



Après pour l’identification plus sécurisé sur Twitter, je doute que cela change quelque chose. Tant que les gens se font avoir avec du bon vieux phishing , tu ne pourra jamais combler la faille de l’ICC.





Bah si, ça change tout… Avoir un unique MDP sur un compte, c’est comme utiliser un PC en ayant un unique utilisateur (admin / root) partagé par tout le monde et prier que personne ne fasse rm * / format c:. Si déjà tu peux avoir un/plusieurs MDP “utilisateur” qui te permettent juste d’envoyer des messages depuis le terrain et un autre MDP “root” qui te permet d’administrer les droits, tu peux nettement mieux contrôler les dégâts (tant que l’administrateur lui même n’est pas un boulet, évidemment).

&nbsp;



Qaund est ce que tous ces sites proposeront de la double authentification de type secureId ? Je comprends tjs pas pourquoi aujourd’hui, ni Twitter, ni Facebook, ni Paypal, ni même ma foutue banque n’instaurent pas ce service (pour twitter te facebook on peut l’envisager que sur les gros comptes évidemment).

Les seuls qui ont de l’avance là dessus c’est google.


mais mais espèce d’enfoiré c’est ma clé windows<img data-src=" />








kras a écrit :



Piratés par les rebelles syriens qu’ils soutiennent, c’est assez amusant.





nop, ce ne sont pas les rebelles.



Secureid tu veux parler dun code a donner quand tu te connecte a ton compte ? , steam le fait quand tu as une nouvelle IP. Microsoft outlook aussi et yahoo , il n’y à pas que Google, et secureip j’ai même mon mmo qui le fait .








Sutka a écrit :



mais mais espèce d’enfoiré c’est ma clé windows<img data-src=" />





Oui. Vous avez tous été pwnd par l’Armée de Libération des Admirateurs de Cthulhu &nbsp;d’Obédience Naturaliste.









kras a écrit :



Piratés par les rebelles syriens qu’ils soutiennent, c’est assez amusant.





L’armée électronique syrienne soutient Bashar el Assad









33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :



Oui. Vous avez tous été pwnd par l’Armée de Libération des Admirateurs de Cthulhu &nbsp;d’Obédience Nudiste.










Sutka a écrit :



mais mais espèce d’enfoiré c’est ma clé windows<img data-src=" />





Cte message avec cet avatar, ça colle au poil !







33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :



Oui. Vous avez tous été pwnd par l’Armée de Libération des Admirateurs de Cthulhu  d’Obédience Naturaliste.





Bref, un groupe ALACON ? <img data-src=" />



L’article du monde était interessant, on va voir s’ils le mettent a jour avec les détails héhé



C’est tout pourri comme méthode.


Aucun rapport, là il s’agit de personnes soutenant Bachar, épicétou


Pas de double authentification sur Twitter ?

&nbsp;








kras a écrit :



Ah oui, il y a les bons islamistes et les mauvais islamistes.

Alors le mauvais islamiste, ben, il cherche à renverser le pouvoir pour imposer la charriat, alors que le bon islamiste, ben, heuuu, pareil…





Assez limite comme raisonnement&nbsp;



il y a bien une double authentification sur twitter non ?&nbsp;

et plutôt que d’avoir un mot de passe en commun que tout le monde se passe pourquoi ne pas utiliser une yubikey avec stockage du mot de passe sur la clé (tout en gardant une double auth ?)








WereWindle a écrit :





Crévindjou ! Déjà une faction rivale.



Spidard a écrit :



Bref, un groupe ALACON ? <img data-src=" />





Tout-à-fait. On avait voulu Armée de Libération des Admirateurs de Cthulhu Bien Assoupi à R’lyeh (ALACBAR) mais ça prêtait à confusion.



La double auth est liée au mobile. Super pratique pour un compte partagé…&nbsp;


Il est loin d’en être à son coup d’essai, c’est peut-être le moins pire des deux dernières semaines.








misterB a écrit :



Assez limite comme raisonnement





tu surestimes la personne là.. raiso- quoi ? <img data-src=" />









TaigaIV a écrit :



Il est loin d’en être à son coup d’essai, c’est peut-être le moins pire des deux dernières semaines.





je trouve ça bien, il est dans la veine de son avatar&nbsp;









skerdreux a écrit :



il y a bien une double authentification sur twitter non ?&nbsp;

et plutôt que d’avoir un mot de passe en commun que tout le monde se passe pourquoi ne pas utiliser une yubikey avec stockage du mot de passe sur la clé (tout en gardant une double auth ?)





Une authentification à deux facteurs c’est bien, mais ça ne résoud pas le problème d’un compte partagé par plusieurs personnes, chacune ayant potentiellement des droits différents. On pourrait très bien envisager que pour poster un tweet un “simple” mdp suffise, mais qu’il y a une vérification plus poussée dès qu’on veut faire quelque chose de moins ordinaire (comme changer le mot de passe…) Il faut un accès root hyper sécurisé + N accès limités révocables à tout moment. Le truc étant qu’au pire tu risques de the faire choper le pw limité par phishing, mais pas l’accès root..



Pourquoi parler piratage alors que c’est juste avoir mis le bon mot de passe&nbsp;du compte Twitter&nbsp;par chance ou pas.

Dans le cas présent, c’est juste une usurpation d’identité !


et alors rien n’empêche de faire un dev qui va redispatcher les sms vers un site qui utiliserai une auth matériel et mot de passe.&nbsp;

Pour un site sensible comme lemonde c’est faisable je pense et ça éliminerait pas mal de risques.&nbsp;


C’est bien tout souligne bien le vrai problème. Le compte ne devrais pas être partagé.



Ce n’est de toutes façons pas la philosophie de Twitter…


Twitter concentre ses efforts sur la pub parce qu’ils ont quelques petits soucis financiers… Mais quand ça ne sera plus trop préoccupant, je suis sur qu’il se concentrons sur la qualité de leur service :)


En tout cas, ils tournent apparemment sous une distrib linux basée sous Ubuntu , SEANux. qui est proposée au téléchargement sur leur site.



En attendant, sea.sy semble être hébergé à Moscou…


N’empêche que c’est putain de dangereux terroriste quand même. Wahou ils ont usurpé une identité et mis des messages sur Twitter. On aurait presque peur dis donc.

Ca fait un peu “piratage” de collégiens là quand même.


Ou alors juste administrer via un tse/citrix qui pilote une session web à l’interne d’un serveur du monde ainsi il est possible de bloquer un cpte utilisateur seul?








Guyom_P a écrit :



N’empêche que c’est putain de dangereux terroriste quand même. Wahou ils ont usurpé une identité et mis des messages sur Twitter. On aurait presque peur dis donc.

Ca fait un peu “piratage” de collégiens là quand même.





C’est dans la même que considérer un DDOS ou un défacage comme une attaque informatique.



Les deux sont des attaques mais potentiellement à portée limitée en effet.

&nbsp;

Le DOS s’il bloque des infrastructures est un poil sérieux néanmoins.

Et d’un point de vue politique assimilable à une manifestation avec sitting quand il est pratiqué type anonymous.



Le défaçage d’un point de vue politique est assimilable à un graphiti ou une action médiatique type femen, act up etc.



les deux relèvent d’une certaine agressivité, au moins symbolique, vers la cible.








MaxGix a écrit :



Il ne fallait pas fanfaronner ^^





Bien fait pour leur gueule.

Après avoir lu leur hier torchon où ils s’extasiaient devant cette “victoire”, je me suis dit qu’ils ne vont pas tenir plus de 24h <img data-src=" />

Ça me rappelle l’histoire d’hadopi avec le serveur ultra-sécurisé. <img data-src=" />





misterB a écrit :



je trouve ça bien, il est dans la veine de son avatar





Il porte bien son pseudo.









yvan a écrit :



Les deux sont des attaques mais potentiellement à portée limitée en effet.

&nbsp;

Le DOS s’il bloque des infrastructures est un poil sérieux néanmoins.

Et d’un point de vue politique assimilable à une manifestation avec sitting quand il est pratiqué type anonymous.



Le défaçage d’un point de vue politique est assimilable à un graphiti ou une action médiatique type femen, act up etc.



les deux relèvent d’une certaine agressivité, au moins symbolique, vers la cible.





Comme tu le dis si bien, c’est plus un simple qu’une vraie attaque informatique.



C’est vraiment la guerre du pauvre et des misérables, ces batailles de comptes et de défaçage…

Je comprends même pas pourquoi on en parle, en fait.








Guyom_P a écrit :



N’empêche que c’est putain de dangereux terroriste quand même. Wahou ils ont usurpé une identité et mis des messages sur Twitter. On aurait presque peur dis donc.

Ca fait un peu “piratage” de collégiens là quand même.





Quand ils avaient piraté le compte de l’AP et ont annoncé une attaque sur la maison blanche, la bourse a juste plongé de 140 G$.



Il faut peut être penser un jour à reconnaitre le pouvoir de l’information, et virer tout ces journalistes véreux.









eliumnick a écrit :



Comme tu le dis si bien, c’est plus un simple qu’une vraie attaque informatique.





Je voulais dire symbole….



Les images postées cette nuit qui montraient un pantin manipuler des moutons avec écrit “je suis charlie” c’était dû au piratage ça aussi ?



J’trouvais ça bizarre venant de “Le monde”&nbsp;


Peut être le plongeon de la bourse de NY quand le compte twitter piraté d’associated press avait annoncé deux explosions à la maison blanche?




L'information aussi est une arme, et le monde fait partie des trois quotidiens de référence en France.    





Edit : cramé par Nikodym<img data-src=">








Guyom_P a écrit :



N’empêche que c’est putain de dangereux terroriste quand même. Wahou ils ont usurpé une identité et mis des messages sur Twitter. On aurait presque peur dis donc.

Ca fait un peu “piratage” de collégiens là quand même.





&nbsp;Non. L’information est une arme. Il y a un pouvoir économique et politique lié.

Et à moins que les mots de passe soient aléatoires et non liés, ils en retirent une possibilité d’infiltration dans d’autres comptes.





un premier message de propagande à 00h38, suivit par un deuxième à 1h03, avant que la cadence ne s’accélère.





je peux avoir le message en question pour me faire ma propre opinion ?&nbsp; Sans cela, ce torchon de propagande ne peux&nbsp; servir que de torche cul.


Internet n’a jamais été conçu pour être sécurisé : ce n’est pas et ne sera jamais sa vocation …

Désolé il faudra chercher ailleurs.



Ce n’est pas Internet qu’il faut changer mais les mentalités des hommes et femmes de cette planète encore bleue.


C’est vrai que la méthode à la Steam, c’est top

Tu changes d’ip ? Ok saisie&nbsp; le code qui t’a été envoyé par mail


Oui, c’est configurable. Ou tu demandes une IP fixe chez ton FAI.


Je ne porte pas de jugement de valeur. Surtout que je m’en tape du monde.



Mais bon entre Bachar qui censure le réseau et les 2 ou 3 factions (c’est pas encore très clair, ils existent vraiment les rebelles non affiliés à l’EI ?) qui bombardent les infrastructures, faut vraiment le vouloir pour pirater un journal étranger parce qu’un autre journal du même pays publie une caricature…


Quelque part c’est rassurant, s’ils avaient des gens vraiment compétents ce serait plus un problème.