Twitter a fait face à l'un des pires problèmes que l’on puisse imaginer : des pirates ont publié des messages frauduleux sur des comptes parmi les plus populaires, parfois de comptes officiels d'hommes politiques, via des outils internes. Si la situation semble être revenue à la normale, le pire est sans doute à venir pour l'entreprise.
Apple, Barack Obama, Elon Musk, Jeff Bezos, Joe Biden, Uber, Mike Bloomberg, Coinbase… voici quelques-uns des comptes piratés cette nuit. Ils diffusaient un message expliquant en substance que pour chaque bitcoin envoyé (sur un portefeuille électronique dont l’adresse était précisée), le double serait renvoyé à l’utilisateur.
Une pratique déjà vue ici ou là, mais qui passait en général par de faux comptes, faciles à identifier et donc à supprimer. C'était néanmoins suffisant pour tromper certains utilisateurs peu vigilants. Un phénomène ici amplifié par le fait qu'il s'agissait de gros comptes, officiels et certifiés par Twitter.
Les publications ont commencé hier avant 23h. Elles apparaissaient, puis étaient supprimées avant de revenir. C'était néanmoins suffisant pour obtenir des milliers de retweets et commentaires. Face à l’étendue des dégâts et l'importance des comptes touchés, il était évident que le souci venait directement de Twitter, ce que la société a fini par reconnaitre.
100 000 euros récupérés par les pirates
Mais elle a mis du temps à réagir publiquement face à la gravité de la situation. Et face à la masse d'utilisateurs exposés, le résultat était couru d'avance : certains se sont fait avoir et ont envoyé de l’argent. En analysant l'adresse de destination diffusée, on note que 374 transactions ont été effectuées pour plus de 100 000 euros, déjà récupérés.
Looks as though Elon Musk has had his Twitter account hacked by bitcoin scammers pic.twitter.com/c4nySGxxVt
— Rob Scammell (@RobertScammell) July 15, 2020
Ce n'est qu’à 23h45 que le compte officiel du support Twitter a diffusé ce message : « Nous avons connaissance d'un incident de sécurité affectant des comptes. Nous enquêtons et prenons des mesures pour y remédier. Nous mettrons à jour tout le monde sous peu ». Des mesures assez drastiques étaient prises dans la foulée.
Plusieurs fonctionnalités ont par exemple été désactivées : « Il se peut que vous ne puissiez pas tweeter ou réinitialiser votre mot de passe pendant que nous examinons et résolvons cet incident ». Il faudra attendre 2h41 du matin pour que « la plupart des comptes » puissent de nouveau publier des messages, mais « cette fonctionnalité pouvait aller et venir » en fonction de l’enquête et des modifications apportées par la société.
C’est finalement ce matin à 4h38 que les causes de l’incident ont été dévoilées : « Nous avons détecté ce que nous pensons être une attaque par ingénierie sociale coordonnée par des personnes qui ont réussi à cibler certains de nos employés ayant accès aux systèmes et outils internes. Nous savons qu'ils ont utilisé cet accès pour prendre le contrôle de nombreux comptes très visibles (y compris vérifiés) et tweeter en leur nom ».
Un piratage via les « systèmes et outils internes »
En clair, les utilisateurs pouvaient avoir protégé leur compte autant qu’ils le pouvaient (via de la double authentification par exemple), les pirates ont directement percé les protections de Twitter pour y accéder via les outils internes du réseau social et publier le message en boucle. Une fois le pot aux roses découvert, l’entreprise « a immédiatement verrouillé les comptes concernés et supprimé les Tweets publiés par les attaquants ».
Twitter explique les mesures ensuite mises en place : « Nous avons limité les fonctionnalités pour un groupe de comptes beaucoup plus important, comme tous les comptes vérifiés (même ceux pour lesquels nous n’avions aucune preuve de compromission), tandis que nous continuons d'enquêter de manière approfondie ».
Certains comptes piratés ont été bloqués en attendant de redonner l’accès au propriétaire légitime du compte « lorsque nous serons certains de pouvoir le faire en toute sécurité ». Évidemment, Twitter a pris des mesures internes « pour limiter l'accès aux systèmes et outils pendant que notre enquête se poursuit ».
Actuellement, il est toujours impossible de diffuser un message contenant l'adresse Bitcoin concernée.
Des questions restent en suspens
Selon des sources de Motherboard, les pirates auraient payé un ou plusieurs employés de Twitter pour avoir accès aux outils internes. Cette nuit, un porte-parole de l'entreprise expliquait à nos confrères que la société cherchait à savoir si « l'employé a détourné les comptes lui-même ou s’il a donné aux pirates l'accès à l'outil ».
Motherboard a mis en ligne des captures de l’outil interne que les pirates auraient utilisé pour publier les messages sur les comptes. Le sujet est visiblement sensible pour Twitter, car le compte Under The Breach qui a publié une capture du même genre que celle de Motherboard a été suspendu pour violation des règles du réseau social.
On peut maintenant s'attendre à ce que cette affaire prenne un autre tournant : plus politique et juridique. Car un tel accès aurait pu être détourné à d'autres fins, plus discrètes et ravageuses qu'un « casse à 100 000 euros ». Avaient-ils par exemple accès aux DM ? Twitter devra s'expliquer sur l'existence même de ces outils internes, comment ses employés pouvaient y accéder, les ouvrir à des tiers, etc. Et sans doute se voir mis en cause par ceux ayant été escroqués.
Les réactions des dirigeants de l'entreprise seront ainsi scrutées de près dans les heures et jours à venir. Notamment par les actionnaires qui peuvent craindre de voir l'action dévisser face aux craintes de répercussions. Le cours perdait déjà un peu plus de 3 points après clôture, stabilisant à 34,5 dollars contre 35,7 dollars hier.
