Cette nuit, le compte Twitter du Monde était piraté par l'Armée électronique syrienne qui en a profité pour diffuser des messages de propagande. Un peu plus d'une heure plus tard, le compte était suspendu. L'aboutissement d'une série d'attaques visant le quotidien français.
En début de semaine, le Monde déjoue (partiellement) une attaque par phishing
Hier, Le Monde publiait un long et intéressant billet afin d'expliquer comment le journal avait été « piraté par l'Armée électronique Syrienne ». L'histoire commence dimanche 18 janvier par une vague d'envoi de mails de phishing visant certains journalistes, le but étant de récupérer identifiants et mots de passe.
Pour nos confrères, le but de la manoeuvre est clair : « une information précise les intéressait : le mot de passe du compte Twitter du Monde.fr et ses plus de 3 millions d'abonnés. Leurs cibles initiales ne laissent guère de doute : il s'agit de journalistes disposant des codes d'accès aux réseaux sociaux et de journalistes haut placés dans la rédaction ». De plus, au moins une boite mail a été forcée afin d'envoyer le message suivant à une personne disposant effectivement du précieux sésame : « Je ne peux pas vous connecter à Twitter, c'est le mdp ? ».
Si l'attaque a donné des résultats, le mot de passe du compte Twitter n'avait pas été récupéré. Le journal annonce en effet que, « malheureusement pour les pirates, les équipes du Monde.fr, conscientes des risques, n'avaient jamais échangé de mots de passe par courrier électronique ni messageries instantanées ». Et au final, si le groupe de pirates a réussi à créer des brouillons dans l'interface de publication, cela n'est finalement pas allé plus loin puisque « une heure plus tard, le constat est rassurant : aucun faux article n'a été mis en ligne, grâce à un mécanisme de sécurité interne qui a fonctionné. »
Si l'équipe n'a pas précisé de quel type de mécanisme il s'agit, elle indique que suite à ces tentatives elle a fait l'objet d'une série d'attaques par déni de service, mais que tout était rentré dans l'ordre hier matin et qu'une plainte allait être déposée. Fin de l'histoire ? Pas tout à fait.
Dans la nuit, le compte Twitter du Monde se fait pirater
Dans la nuit, des pirates se revendiquant comme étant de l'Armée électronique Syrienne ont finalement pris possession du compte Twitter du Monde (plus de 3,3 millions d'abonnés) et ont publié un premier message de propagande à 00h38, suivit par un deuxième à 1h03, avant que la cadence ne s'accélère.
Il faudra alors attendre 1h36 pour que les tweets soient effacés, du moins en partie. En effet, si les messages de propagande ont disparu, la description du compte indiquait alors toujours « Bienvenue sur le fil d'actualité du Monde.fr. Compte piloté par @Official_SEA16 (juste pour l'instant) » et un RT douteux trainait également selon nos constatations :
Dans la foulée, Michaël Szadkowski (rédacteur en chef adjoint des Internets du Monde), indiquait que le groupe était « au courant du piratage » et qu'il prenait « les mesures nécessaires ». Cela n'empêche pas les pirates de reposter des nouveaux messages, avant que le journal ne prenne une décision plus radicale : couper le compte. Quoi qu'il en soit, le retour à la normale était annoncé à 3h44 ce matin. Notez que, pendant ce temps, le compte Facebook du Monde n'a subi aucune perturbation.
Nous avons suspendu temporairement @lemondefr pour éviter de nouveaux posts par les hackeurs. Work in progress pour résoudre le problème.
— Michaël Szadkowski (@szadkowski_m) 21 Janvier 2015
Le Monde n'a pour le moment donné aucune explication sur la manière dont les pirates ont pu récupérer les informations de connexion. Dans un court papier publié ce matin, il est simplement précisé que « les pirates ont en effet récupéré le mot de passe et révoqué tous les accès : il est impossible de supprimer les messages ou de changer à nouveau le mot de passe ». Avant d'ajouter qu'« une plainte sera déposée dans les prochaines heures, notamment pour intrusion et maintien frauduleux dans un système informatique ».
La gestion des comptes Twitter doit-elle être renforcée ?
Une prise de contrôle qui soulève une question qui reste malheureusement toujours sans réponse : quand est-ce que Twitter se décidera-t-il a proposer des outils de gestion plus avancés pour les comptes gérés par plusieurs personnes et à renforcer ses procédures de sécurité, comme peuvent le faire Facebook ou Google ? L'histoire a en effet tendance à se répéter au fil du temps. On se souviendra du piratage du compte d'Associated Press là encore suite à une vague de phishing, de celui de la Fox ou bien du cas d'Auchan.
Dans le cas du Monde, mais aussi de nombreux autres groupes, plusieurs community manager se relayent afin d'animer le compte tout au fil de la journée. Problème, il n'existe pas de manière simple de partager un accès : il faut obligatoirement s'échanger le mot de passe du compte qui ne peut être officiellement administré que par un seul utilisateur, ce qui est tout sauf pratique.
Une solution déjà exploitée sur Facebook et Google+ permet d'associer des tiers et de leur attribuer des droits, ou de les révoquer d'un simple clic. C'est d'ailleurs aussi une solution exploitée par... Twitter, mais uniquement pour la gestion des comptes publicitaires. Car c'est vers là que vont depuis quelques temps tous les efforts du service. Il aura ainsi fallu attendre l'année dernière pour voir débarquer la connexion en deux étapes, il n'y a toujours pas de système d'alerte par mail ou de liste des dernières connexions avec possibilité de révoquer une session, etc. Il serait temps qu'un réseau social d'une telle importance prenne enfin sérieusement la question en main.
