Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Piratage de gros comptes Twitter… via les outils internes

Le casse de l'année
Internet 5 min
Piratage de gros comptes Twitter… via les outils internes
Crédits : VladSt/iStock

Twitter a fait face à l'un des pires problèmes que l’on puisse imaginer : des pirates ont publié des messages frauduleux sur des comptes parmi les plus populaires, parfois de comptes officiels d'hommes politiques, via des outils internes. Si la situation semble être revenue à la normale, le pire est sans doute à venir pour l'entreprise.

Apple, Barack Obama, Elon Musk, Jeff Bezos, Joe Biden, Uber, Mike Bloomberg, Coinbase… voici quelques-uns des comptes piratés cette nuit. Ils diffusaient un message expliquant en substance que pour chaque bitcoin envoyé (sur un portefeuille électronique dont l’adresse était précisée), le double serait renvoyé à l’utilisateur.

Une pratique déjà vue ici ou là, mais qui passait en général par de faux comptes, faciles à identifier et donc à supprimer. C'était néanmoins suffisant pour tromper certains utilisateurs peu vigilants. Un phénomène ici amplifié par le fait qu'il s'agissait de gros comptes, officiels et certifiés par Twitter. 

Les publications ont commencé hier avant 23h. Elles apparaissaient, puis étaient supprimées avant de revenir. C'était néanmoins suffisant pour obtenir des milliers de retweets et commentaires. Face à l’étendue des dégâts et l'importance des comptes touchés, il était évident que le souci venait directement de Twitter, ce que la société a fini par reconnaitre.

100 000 euros récupérés par les pirates

Mais elle a mis du temps à réagir publiquement face à la gravité de la situation. Et face à la masse d'utilisateurs exposés, le résultat était couru d'avance : certains se sont fait avoir et ont envoyé de l’argent. En analysant l'adresse de destination diffusée, on note que 374 transactions ont été effectuées pour plus de 100 000 euros, déjà récupérés.

Ce n'est qu’à 23h45 que le compte officiel du support Twitter a diffusé ce message : « Nous avons connaissance d'un incident de sécurité affectant des comptes. Nous enquêtons et prenons des mesures pour y remédier. Nous mettrons à jour tout le monde sous peu ». Des mesures assez drastiques étaient prises dans la foulée.

Plusieurs fonctionnalités ont par exemple été désactivées : « Il se peut que vous ne puissiez pas tweeter ou réinitialiser votre mot de passe pendant que nous examinons et résolvons cet incident ». Il faudra attendre 2h41 du matin pour que « la plupart des comptes » puissent de nouveau publier des messages, mais « cette fonctionnalité pouvait aller et venir » en fonction de l’enquête et des modifications apportées par la société.

C’est finalement ce matin à 4h38 que les causes de l’incident ont été dévoilées : « Nous avons détecté ce que nous pensons être une attaque par ingénierie sociale coordonnée par des personnes qui ont réussi à cibler certains de nos employés ayant accès aux systèmes et outils internes. Nous savons qu'ils ont utilisé cet accès pour prendre le contrôle de nombreux comptes très visibles (y compris vérifiés) et tweeter en leur nom ».

Un piratage via les « systèmes et outils internes » 

En clair, les utilisateurs pouvaient avoir protégé leur compte autant qu’ils le pouvaient (via de la double authentification par exemple), les pirates ont directement percé les protections de Twitter pour y accéder via les outils internes du réseau social et publier le message en boucle. Une fois le pot aux roses découvert, l’entreprise « a immédiatement verrouillé les comptes concernés et supprimé les Tweets publiés par les attaquants ». 

Twitter explique les mesures ensuite mises en place : « Nous avons limité les fonctionnalités pour un groupe de comptes beaucoup plus important, comme tous les comptes vérifiés (même ceux pour lesquels nous n’avions aucune preuve de compromission), tandis que nous continuons d'enquêter de manière approfondie ». 

Certains comptes piratés ont été bloqués en attendant de redonner l’accès au propriétaire légitime du compte « lorsque nous serons certains de pouvoir le faire en toute sécurité ». Évidemment, Twitter a pris des mesures internes « pour limiter l'accès aux systèmes et outils pendant que notre enquête se poursuit ».

Actuellement, il est toujours impossible de diffuser un message contenant l'adresse Bitcoin concernée.

Des questions restent en suspens

Selon des sources de Motherboard, les pirates auraient payé un ou plusieurs employés de Twitter pour avoir accès aux outils internes. Cette nuit, un porte-parole de l'entreprise expliquait à nos confrères que la société cherchait à savoir si « l'employé a détourné les comptes lui-même ou s’il a donné aux pirates l'accès à l'outil ».

Motherboard a mis en ligne des captures de l’outil interne que les pirates auraient utilisé pour publier les messages sur les comptes. Le sujet est visiblement sensible pour Twitter, car le compte Under The Breach qui a publié une capture du même genre que celle de Motherboard a été suspendu pour violation des règles du réseau social.

On peut maintenant s'attendre à ce que cette affaire prenne un autre tournant : plus politique et juridique. Car un tel accès aurait pu être détourné à d'autres fins, plus discrètes et ravageuses qu'un « casse à 100 000 euros ». Avaient-ils par exemple accès aux DM ? Twitter devra s'expliquer sur l'existence même de ces outils internes, comment ses employés pouvaient y accéder, les ouvrir à des tiers, etc. Et sans doute se voir mis en cause par ceux ayant été escroqués. 

Les réactions des dirigeants de l'entreprise seront ainsi scrutées de près dans les heures et jours à venir. Notamment par les actionnaires qui peuvent craindre de voir l'action dévisser face aux craintes de répercussions. Le cours perdait déjà un peu plus de 3 points après clôture, stabilisant à 34,5 dollars contre 35,7 dollars hier.

70 commentaires
Avatar de ndjpoye Abonné
Avatar de ndjpoyendjpoye- 16/07/20 à 06:24:03

Signaler ce commentaire aux modérateurs :

Même si je m'y attends, j'en reviens jamais de la crédulité de certaines personnes, surtout quand c'est poussé par l'appat du gain

Avatar de gd Abonné
Avatar de gdgd- 16/07/20 à 06:37:18

Signaler ce commentaire aux modérateurs :

La sécurité... elle dépend de son maillon le plus faible.
 Et comme souvent il s'agit de l'humain (récupération des accès via social engineering ou corruption directement).

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 16/07/20 à 06:38:51

Signaler ce commentaire aux modérateurs :

Donc c'était bien avec les outils internes...
A voir si les outils permettent de Tweet facilement avec un compte d'un utilisateur (le pire des cas pour Tweeter, pourquoi avoir ce genre d'outils !) ou alors si c'est le détournement de ou des outils qui a permis de le faire (via une API non sécurisée en interne par exemple).

Bref c'est moche pour Tweeter, ils vont s'en prendre plein les dents... c'est dommage que l'attaque/scam n'est pas eue aussi lieu sur Facebook

Avatar de erw_da Abonné
Avatar de erw_daerw_da- 16/07/20 à 06:44:56

Signaler ce commentaire aux modérateurs :

pourquoi avoir ce genre d'outil ? pour moi il est beaucoup plus compliqué de ne pas les avoir. Tu auras beau tout verrouiller, le DBA pourra toujours injecter des données dans la base de données par exemple.

Édité par erw_da le 16/07/2020 à 06:45
Avatar de jpaul Abonné
Avatar de jpauljpaul- 16/07/20 à 06:46:52

Signaler ce commentaire aux modérateurs :

On peut maintenant s'attendre à ce que cette affaire prenne un autre tournant : plus politique et juridique. Car un tel accès aurait pût être détourné à d'autres fins, plus discrètes et ravageuses qu'un « casse à 100 000 euros ». Twitter devra s'expliquer sur l'existence même de ces outils internes, comment ses employés pouvaient y accéder, les ouvrir à des tiers, et sans doute voir se voir mis en cause par ceux ayant été escroqué par ce biais.
On découvre quand même un peu l’eau chaude là. C’est un peu flippant.

Il y a forcément dans toutes les boîtes un certain nombre d’employés qui ont accès en écriture à la production. Twitter ne fait pas exception. Tu as beau restreindre au maximum les accès, les historiser (et encore, les employés ayant accès à des environnements sensibles sont aussi ceux ayant accès ... aux journaux d’accès) aucune plateforme ne sera jamais à l’abri d’une malveillance volontaire ou non d’un de ses employés.

Et si c’est une attaque ciblée, il faut quelques secondes à n’importe qui d’un peu malin pour injecter un code malveillant sur la machine d’un admin. Il n’y a plus qu’à attendre que l’admin en question se connecte à la prod pour une raison légitime.

Ce qui fait que ça m’a toujours posé question cette confiance aveugle dans ce que peuvent produire les sociétés « du numérique » et ça va de la fausse info pour faire un délit d’initié à Jean-Jacques de chez tel FAI qui ajouterait l’adresse IP de l’amant de sa femme à un log demandé par la police dans le cadre d’une affaire de pedocriminalité.

Avatar de DanLo INpactien
Avatar de DanLoDanLo- 16/07/20 à 06:49:26

Signaler ce commentaire aux modérateurs :

Roooh je suis déçu....

J'ai cru un instant que ça allait être l'explication au tweet de Macron mais au final pas du tout...

"J'ai fait ce que j'avais dit que je ferai."..

Avatar de gragra Abonné
Avatar de gragragragra- 16/07/20 à 06:50:26

Signaler ce commentaire aux modérateurs :

"Car un tel accès aurait pu être détourné à d'autres fins, plus
discrètes et ravageuses qu'un « casse à 100 000 euros ». Avaient-ils par
exemple accès aux DM ? "

DM ? Lopokompri ?

Avatar de David_L Équipe
Avatar de David_LDavid_L- 16/07/20 à 07:00:21

Signaler ce commentaire aux modérateurs :

Direct Message en langage twitter ;)

Avatar de wh6b INpactien
Avatar de wh6bwh6b- 16/07/20 à 07:05:35

Signaler ce commentaire aux modérateurs :

Ah ben voila d'où viennent les messages pas très intelligents de Trump, il s'était fait pirater son compte en phase pilote avant la généralisation sur les autres comptes !! .. ah.. on me dit que son compte n'a pas été piraté en fait..

Avatar de Anony Abonné
Avatar de AnonyAnony- 16/07/20 à 07:09:39

Signaler ce commentaire aux modérateurs :

Comme l'a dit David ce sont les Direct Messages, qui sont les conversations privées entre Twittos.

Il n'est plus possible de commenter cette actualité.
Page 1 / 7