Piratage de gros comptes Twitter… via les outils internes

Piratage de gros comptes Twitter… via les outils internes

Le casse de l'année

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

16/07/2020 5 minutes
70

Piratage de gros comptes Twitter… via les outils internes

Twitter a fait face à l'un des pires problèmes que l’on puisse imaginer : des pirates ont publié des messages frauduleux sur des comptes parmi les plus populaires, parfois de comptes officiels d'hommes politiques, via des outils internes. Si la situation semble être revenue à la normale, le pire est sans doute à venir pour l'entreprise.

Apple, Barack Obama, Elon Musk, Jeff Bezos, Joe Biden, Uber, Mike Bloomberg, Coinbase… voici quelques-uns des comptes piratés cette nuit. Ils diffusaient un message expliquant en substance que pour chaque bitcoin envoyé (sur un portefeuille électronique dont l’adresse était précisée), le double serait renvoyé à l’utilisateur.

Une pratique déjà vue ici ou là, mais qui passait en général par de faux comptes, faciles à identifier et donc à supprimer. C'était néanmoins suffisant pour tromper certains utilisateurs peu vigilants. Un phénomène ici amplifié par le fait qu'il s'agissait de gros comptes, officiels et certifiés par Twitter. 

Les publications ont commencé hier avant 23h. Elles apparaissaient, puis étaient supprimées avant de revenir. C'était néanmoins suffisant pour obtenir des milliers de retweets et commentaires. Face à l’étendue des dégâts et l'importance des comptes touchés, il était évident que le souci venait directement de Twitter, ce que la société a fini par reconnaitre.

100 000 euros récupérés par les pirates

Mais elle a mis du temps à réagir publiquement face à la gravité de la situation. Et face à la masse d'utilisateurs exposés, le résultat était couru d'avance : certains se sont fait avoir et ont envoyé de l’argent. En analysant l'adresse de destination diffusée, on note que 374 transactions ont été effectuées pour plus de 100 000 euros, déjà récupérés.

Ce n'est qu’à 23h45 que le compte officiel du support Twitter a diffusé ce message : « Nous avons connaissance d'un incident de sécurité affectant des comptes. Nous enquêtons et prenons des mesures pour y remédier. Nous mettrons à jour tout le monde sous peu ». Des mesures assez drastiques étaient prises dans la foulée.

Plusieurs fonctionnalités ont par exemple été désactivées : « Il se peut que vous ne puissiez pas tweeter ou réinitialiser votre mot de passe pendant que nous examinons et résolvons cet incident ». Il faudra attendre 2h41 du matin pour que « la plupart des comptes » puissent de nouveau publier des messages, mais « cette fonctionnalité pouvait aller et venir » en fonction de l’enquête et des modifications apportées par la société.

C’est finalement ce matin à 4h38 que les causes de l’incident ont été dévoilées : « Nous avons détecté ce que nous pensons être une attaque par ingénierie sociale coordonnée par des personnes qui ont réussi à cibler certains de nos employés ayant accès aux systèmes et outils internes. Nous savons qu'ils ont utilisé cet accès pour prendre le contrôle de nombreux comptes très visibles (y compris vérifiés) et tweeter en leur nom ».

Un piratage via les « systèmes et outils internes » 

En clair, les utilisateurs pouvaient avoir protégé leur compte autant qu’ils le pouvaient (via de la double authentification par exemple), les pirates ont directement percé les protections de Twitter pour y accéder via les outils internes du réseau social et publier le message en boucle. Une fois le pot aux roses découvert, l’entreprise « a immédiatement verrouillé les comptes concernés et supprimé les Tweets publiés par les attaquants ». 

Twitter explique les mesures ensuite mises en place : « Nous avons limité les fonctionnalités pour un groupe de comptes beaucoup plus important, comme tous les comptes vérifiés (même ceux pour lesquels nous n’avions aucune preuve de compromission), tandis que nous continuons d'enquêter de manière approfondie ». 

Certains comptes piratés ont été bloqués en attendant de redonner l’accès au propriétaire légitime du compte « lorsque nous serons certains de pouvoir le faire en toute sécurité ». Évidemment, Twitter a pris des mesures internes « pour limiter l'accès aux systèmes et outils pendant que notre enquête se poursuit ».

Actuellement, il est toujours impossible de diffuser un message contenant l'adresse Bitcoin concernée.

Des questions restent en suspens

Selon des sources de Motherboard, les pirates auraient payé un ou plusieurs employés de Twitter pour avoir accès aux outils internes. Cette nuit, un porte-parole de l'entreprise expliquait à nos confrères que la société cherchait à savoir si « l'employé a détourné les comptes lui-même ou s’il a donné aux pirates l'accès à l'outil ».

Motherboard a mis en ligne des captures de l’outil interne que les pirates auraient utilisé pour publier les messages sur les comptes. Le sujet est visiblement sensible pour Twitter, car le compte Under The Breach qui a publié une capture du même genre que celle de Motherboard a été suspendu pour violation des règles du réseau social.

On peut maintenant s'attendre à ce que cette affaire prenne un autre tournant : plus politique et juridique. Car un tel accès aurait pu être détourné à d'autres fins, plus discrètes et ravageuses qu'un « casse à 100 000 euros ». Avaient-ils par exemple accès aux DM ? Twitter devra s'expliquer sur l'existence même de ces outils internes, comment ses employés pouvaient y accéder, les ouvrir à des tiers, etc. Et sans doute se voir mis en cause par ceux ayant été escroqués. 

Les réactions des dirigeants de l'entreprise seront ainsi scrutées de près dans les heures et jours à venir. Notamment par les actionnaires qui peuvent craindre de voir l'action dévisser face aux craintes de répercussions. Le cours perdait déjà un peu plus de 3 points après clôture, stabilisant à 34,5 dollars contre 35,7 dollars hier.

70

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

100 000 euros récupérés par les pirates

Un piratage via les « systèmes et outils internes » 

Des questions restent en suspens

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (70)


Même si je m’y attends, j’en reviens jamais de la crédulité de certaines personnes, surtout quand c’est poussé par l’appat du gain <img data-src=" />


La sécurité… elle dépend de son maillon le plus faible.

&nbsp;Et comme souvent il s’agit de l’humain (récupération des accès via social engineering ou corruption directement).


Donc c’était bien avec les outils internes…

A voir si les outils permettent de Tweet facilement avec un compte d’un utilisateur (le pire des cas pour Tweeter, pourquoi avoir ce genre d’outils !) ou alors si c’est le détournement de ou des outils qui a permis de le faire (via une API non sécurisée en interne par exemple).



Bref c’est moche pour Tweeter, ils vont s’en prendre plein les dents… c’est dommage que l’attaque/scam n’est pas eue aussi lieu sur Facebook <img data-src=" />


pourquoi avoir ce genre d’outil ? pour moi il est beaucoup plus compliqué de ne pas les avoir. Tu auras beau tout verrouiller, le DBA pourra toujours injecter des données dans la base de données par exemple.




On peut maintenant s’attendre à ce que cette affaire prenne un autre tournant : plus politique et juridique. Car un tel accès aurait pût être détourné à d’autres fins, plus discrètes et ravageuses qu’un « casse à 100 000 euros ». Twitter devra s’expliquer sur l’existence même de ces outils internes, comment ses employés pouvaient y accéder, les ouvrir à des tiers, et sans doute voir se voir mis en cause par ceux ayant été escroqué par ce biais.

On découvre quand même un peu l’eau chaude là. C’est un peu flippant.



Il y a forcément dans toutes les boîtes un certain nombre d’employés qui ont accès en écriture à la production. Twitter ne fait pas exception. Tu as beau restreindre au maximum les accès, les historiser (et encore, les employés ayant accès à des environnements sensibles sont aussi ceux ayant accès … aux journaux d’accès) aucune plateforme ne sera jamais à l’abri d’une malveillance volontaire ou non d’un de ses employés.



Et si c’est une attaque ciblée, il faut quelques secondes à n’importe qui d’un peu malin pour injecter un code malveillant sur la machine d’un admin. Il n’y a plus qu’à attendre que l’admin en question se connecte à la prod pour une raison légitime.



Ce qui fait que ça m’a toujours posé question cette confiance aveugle dans ce que peuvent produire les sociétés « du numérique » et ça va de la fausse info pour faire un délit d’initié à Jean-Jacques de chez tel FAI qui ajouterait l’adresse IP de l’amant de sa femme à un log demandé par la police dans le cadre d’une affaire de pedocriminalité.


Roooh je suis déçu….



J’ai cru un instant que ça allait être l’explication au tweet de Macron mais au final pas du tout…



“J’ai fait ce que j’avais dit que je ferai.”..


“Car un tel accès aurait&nbsp;pu être détourné à d’autres fins, plus

discrètes et ravageuses qu’un&nbsp;« casse à 100 000 euros ». Avaient-ils par

exemple accès aux DM ? ”



DM ? Lopokompri ?


Direct Message en langage twitter ;)


Ah ben voila d’où viennent les messages pas très intelligents de Trump, il s’était fait pirater son compte en phase pilote avant la généralisation sur les autres comptes !! .. ah.. on me dit que son compte n’a pas été piraté en fait..


Comme l’a dit David ce sont les Direct Messages, qui sont les conversations privées entre Twittos.


tout à fait d’accord, quoi qu’on fasse ce genre de problèmes sera extrèmement compliquer si ce n’est impossible à éviter.

Une solution étant de restreindre au minimum les personnes ayants ces accès, mais ce n’est pas suffisant malheureusement.



Ce genre d’outils existera toujours quelque soit l’appli, accuser tweeter de posséder ce genre d’outil serait complètement idiot et démontrerait une imcompétence totale sur le sujet.


C’est beau d’être aussi catégorique sans connaitre l’outil en question et sa portée <img data-src=" />


Avoir accès à autant de pouvoir et faire juste une petite arnaque au bitcoin c’est limite décevant. C’est genre braquer une épicerie avec un tank.

Un seul tweet bien placé de Elon Musk ou de Apple suffirait à faire bouger la bourse de plusieurs milliards en quelques secondes et d’en profiter largement.

Cramer un tel accès pour finalement si peu, ça sent vraiment le coup monté à la hâte par des amateurs.&nbsp;


L’actu élude le plus important : est-ce que les 200 000 euros ont été reversés ou pas ? <img data-src=" />








Jarodd a écrit :



L’actu élude le plus important : est-ce que les 200 000 euros ont été reversés ou pas ? <img data-src=" />





Désolé, tu ne toucheras pas ton argent <img data-src=" />

<img data-src=" />



C’est top ça, un outil interne qui permet de publier sur n’importe quel compte sans double contrôle ou sécurité supplémentaire…



Le GodMode n’as jamais été une bonne idée ….


Il faut du cash pour faire une manipulation en bourse



Si tu veux acheter des actions Apple, puis faire un twitt simultané pour annoncer qu’Apple rachète Tesla.

Et profiter de l’augmentation des actions pour revendre.



Si tu table sur 2 % d’augmentation, il te faut

780000 \( pour 2000 actions, revendue 795600 = 15600 de bénéficie&nbsp; bof bof.

Même avec 10%&nbsp; tu gagne&nbsp; 78000\)




Sachant que l’autorité boursière risque d’annuler les transactions durant les heures



Ici ils se sont fait 100 000$ sans risque















tt {

font-family: courier;

}

td {

font-family: helvetica, sans-serif;

}

caption {

font-family: helvetica, sans-serif;

font-size: 14pt;

text-align: left;

}


Oué je me suis fait la même réflexion. Une telle faille exploitée pour “seulement” 100 000€ c’est pas ouf de la part des pirates.



Après ils espéraient peut-être que ça morde plus à l’hameçon. Je suis étonné de la réactivité pour supprimer ces twittes (quelques dizaine de secondes). Même si les administrateurs des comptes ont une alerte faut le temps de réaction, se connecter, aller sur le twitte et le supprimer.



Et à part le fait que l’argent soit à envoyer en bitcoin, ce qui est franchement suspect, je trouve l’arnaque plutôt bien faite car beaucoup de gens peuvent avoir tous leurs réflexes d’attention inhibés par l’habitude que ces comptes soient sensés être de confiance.


Attendons le résultat de l’enquête avant de s’enflammer. Peut-être, comme dit dans un com plus haut, qu’en théorie ce soit impossible depuis les outils internes mais que le login donne accès à une api interne moins bien sécurisée que l’api externe. Ça n’excuse rien mais c’est assez humain de prêter un peu moins d’attention à la sécurité d’une api qui est déjà sécurisée par login administrateur.



La question est donc de savoir s’il y a eu exploitation d’une faille logicielle en plus de la faille humaine.


Svp les gens on pardonne au lointain ancêtre de Grogro. Twitter ne devait pas exister de son temps.&nbsp;


Plein d’autres usages auraient pu permettre de gagner beaucoup plus en cherchant un peu. Tout dépend de l’accès qu’ils avaient vraiment. Par exemple l’accès aux messages privés de tout Twitter peut être une mine d’or en revendant des infos collectés à un concurrent économique ou politique… Après l’un l’empêche pas l’autre. Rien ne dit qu’ils n’ont pas exploité la faille par d’autres biais avant de finir par ce coup d’éclat pour la gloire.


Le timing de cette attaque si particulière, son impact probable (crédibilité de twitter), le fait qu’elle soit dirigée même&nbsp;contre Joe Biden et qu’elle épargne Trump “La star de Twitter”, le faible&nbsp;montant récupéré par rapport aux risques et moyens utilisés… Je trouve que c’est loin d’être une attaque anodine. Je pense que le but est de toucher à la crédibilité de Twitter bien plus&nbsp;que de simplement rapporter de l’argent…&nbsp;








Dj a écrit :



Il faut du cash pour faire une manipulation en bourse



Si tu veux acheter des actions Apple, puis faire un twitt simultané pour annoncer qu’Apple rachète Tesla.

Et profiter de l’augmentation des actions pour revendre.



Si tu table sur 2 % d’augmentation, il te faut

780000 \( pour 2000 actions, revendue 795600 = 15600 de bénéficie&nbsp; bof bof.

Même avec 10%&nbsp; tu gagne&nbsp; 78000\)




Sachant que l’autorité boursière risque d’annuler les transactions durant les heures



Ici ils se sont fait 100 000$ sans risque





oui sinon tu peux aussi parler de chose que tu connais….&nbsp; &nbsp;



https://www.boursorama.com/cours/produits-bourse/AAPL/warrants/









secouss a écrit :



Le GodMode n’as jamais été une bonne idée ….







Mais si. Dans les jeux vidéo.<img data-src=" />



Je me suis bien amusé hier soir en tout cas, c’était drôle à voir.


C’est l’occasion de poser la question qui me dérange depuis un moment:

On répète régulièrement que le BitCoin, par la chainblock, est, contrairement à ce que l’on croit, la méthode de paiement la moins anonyme, avec le plus de traçabilité…



Alors avec toutes ces mécaniques de sécurité, avec cette certitude que le bitcoin n’est pas la monnaie de l’illégalité, Comment se fait-il qu’on ne puisse pas simplement remonter à Qui reçoit l’argent?


Confiance aveugle : car les gens n’y connaissent rien, que leur expliquer cette faillibilité les fait bien trop flipper et n’est dans l’intérêt d’aucune entreprise (elles vont toutes dire que leur produit est parfait).

Ils ont besoin de croire que la machine est infaillible, sinon l’illusion tombe et la paranoia commence.








Raito Yagami a écrit :



Le timing de cette attaque si particulière, son impact probable (crédibilité de twitter), le fait qu’elle soit dirigée même&nbsp;contre Joe Biden et qu’elle épargne Trump “La star de Twitter”, le faible&nbsp;montant récupéré par rapport aux risques et moyens utilisés… Je trouve que c’est loin d’être une attaque anodine. Je pense que le but est de toucher à la crédibilité de Twitter bien plus&nbsp;que de simplement rapporter de l’argent…&nbsp;





Je n’ai pas pu m’empêcher de penser un peu la même chose… Pourquoi pas Trump ?&nbsp; Cela aurait tout de suite décrédibiliser l’attaque !? Ou alors est ce autre chose, mode théorie du complot <img data-src=" />









Raito Yagami a écrit :



Le timing de cette attaque si particulière, son impact probable (crédibilité de twitter), le fait qu’elle soit dirigée même contre Joe Biden et qu’elle épargne Trump “La star de Twitter”, le faible montant récupéré par rapport aux risques et moyens utilisés… Je trouve que c’est loin d’être une attaque anodine. Je pense que le but est de toucher à la crédibilité de Twitter bien plus que de simplement rapporter de l’argent…





Effectivement et Twitter qui fait un ménage intensif ces derniers temps dans les comptes de la fachosphère. On pourrait y voir un lien. Reste à le prouver …



C’est anonymité vs intimité (Anonymity vs Privacy). Le Bitcoin est anonyme, tu vois tout ce qui se passe, mais tu sais pas qui sont les personnes derrière. Intimité (privacy), on sait qui tu es, mais on sait pas ce que tu fais.



Le Bitcoin est complètement anonyme. Tant que tu restes dans le système.

Donc, tant que tu restes dans le Bitcoin et que tu n’essayes pas de le transformer en cash, tu risques rien. Car quand tu transformes en cash, généralement, tu dois donner des id bancaires ou autres.


Excellente question : Quelle est l’utiité de donner la possibilité d’écrire au nom de quelqu’un, en production, sur des comptes réels ?


Le bitcoin est pseudonyme, seul le cash peut être anonyme.


Tu peux lever l’anonymité quand tu rentres ou sors du réseau, mais dans le réseau y’a aucune moyen de savoir qui sont les personnes. Un moyen de rentrer dans le réseau de façon anonyme est de recevoir des BTC d’une autre personne. Dans ce cas, c’est juste un transfert d’une adresse à une autre. Donc tu restes anonyme, et personne ne sait que oXis a des BTC. Mais il faut pas passer des portefeuilles en ligne bien sûr, car y’a des traces (email, ip, etc)



C’est un peu comme Tor, l’anonymité est garantie dans le réseau, mais pas avant, ni après.



Et le cash n’est absolument pas anonyme, car il faut bien payer “en personne”, par contre y’a pas de trace, il est donc “privacy”. C’est relou en Français, on a pas les notions anonymity vs privacy (ou alors je connais pas les mots xD)








dematbreizh a écrit :



Qui reçoit l’argent?&nbsp;









oXis a écrit :



Le Bitcoin est complètement anonyme. Tant que tu restes dans le système.



&nbsp;



       Je rebondis sur cette réponse pertinente pour encourager ceux qui se posent l'excellente question que se pose dematbreizh à regarder via un explorateur de la blockchain BTC ce qui s'est passé avec les fonds de l'adresse utilisée pour le scam :             






       Via de nombreuses transactions, incluant de multiples comptes intermédiaires "passe-plats" (n'étant impliqués que dans 1 opération de réception + 1 opération d'émission du même montant), le solde s'est fait diluer sur une multitude de comptes au solde plus petit. J'en ai repéré quelques-uns dont le solde est, pour le moment en tous cas, dormant à 1 BTC tout rond.             






       Les opérations étant tracées, si le(s) instigateur(s), malgré cette dilution, essaie(nt) d'utiliser ces fonds directement pour des paiements de produits/services, celui/ux-ci pourront à son(leur) tour se faire tracer.             






       Cette dilution a donc selon moi un intérêt majeur : être en capacité de distribuer tous ces comptes à des "petites mains" plus ou moins inconscientes, et/ou qui, moyennant rémunération et sans trop se poser de question (appât du gain), prendront possession de ces comptes pour en utiliser le contenu.             

Il s'agira ni plus, ni moins, d'une opération de blanchiment. Il suffit pour cela que l'/es escroc(s) actuellement maître(s) de ces comptes vende(nt) l'accès à ces comptes moins chers que leur valeur nominale, en étant payé(s) par des moyens non-traçables (espèces, mandats, etc.). Ça nécessite un peu d'organisation, donc ça fait penser à du crime organisé... à moins qu'il ne s'agisse que d'un seul individu débrouillard ?

Le ratio prix de vente/valeur nominale déterminera la part de cet argent escroqué dont le(s) commanditaire(s) bénéficiera/ont réellement.








oXis a écrit :



[…]

Et le cash n’est absolument pas anonyme, car il faut bien payer “en personne”, par contre y’a pas de trace, il est donc “privacy”. C’est relou en Français, on a pas les notions anonymity vs privacy (ou alors je connais pas les mots xD)









Anonyme et privé(e) semble tout aussi bien correspondre.

“Anonyme” puisque ne permettant pas l’identification de quelque manière que ce soit des parties

“privée” qui est ou n’est pas anonyme d’ailleurs puisque cela se fait dans un relation restreinte et surtout non publique.



J’ai écris “peu”, pas que le cash est obligatoirement anonyme, ça dépends, si je paie en cash by mail sans écrire mes coordonnées, c’est anonyme, si je paie en cash en personne c’est privée.



Et Tor est lui aussi pseudonyme et non anonyme, sauf si je ne dit pas de bêtises, en passant par des liens en .onion.



Si je paye mes bitcoins en cash ou avec une autre cryptomonnaie, je suis proche de l’anonymat, mais la cryptomonnaie quelle qu’elle soit reste traçable via la blockchain, et en passant, le plan inutile sont les services qui te proposent d’acheter des bitcoins via ta carte bancaire, tu paies avec Paypal ou équivalant ça revient au même.



&nbsp;


Tu n’es pas anonyme vis à vis de la personne à qui tu donne le cash, contrairement au Bitcoin. C’est ce que je voulais dire.


Et encore on a du bol, ce n’est [apparemment] qu’un scam pour prendre des bitcoin, mais les assaillants auraient pu faire beaucoup, beaucoup plus mal en passant des messages plus fins qui auraient par ex. déstabilisé la bourse, une organisation… à quelque mois de l’election USA ça fait peur :-/


Analyse pertinente.



Je reste quand même étonné de la finalité de l’assaut. Juste prendre de bitcoin, et finalement pas tant que ça puisqu’on parle de 100’000$ Tant d’énergie déployée dans l’attaque et son blanchiment pour un gain qui sera presque marginal compte tenu des enjeux. J’avoue être circonspect, j’ai l’impression qu’il y’a tout autre chose derrière ça. Wait & see


Pour du crime organisé c est justement pas très organisé. Trop visible et trop faible butin.

Le manque d’ambition, les cibles choisies et la politique de Twitter récente, tout ça mais a bout je partirai bien sur du Qanon, alt right ou autre andouille du style. Trop peu de butin pour du crime organisé ou des hackers semi compétent et beaucoup trop visible pour une action étatique.








boogieplayer a écrit :



Et encore on a du bol, ce n’est [apparemment] qu’un scam pour prendre des bitcoin



&nbsp;



 Apparemment...       






 Il est effectivement étonnant qu'en prenant le contrôle (par procuration ?) d'autant de comptes, l'on ne lève que 100 000$. Ça sonne presque comme un échec.       

À moins que le scam ne soit qu'un épouvantail destiné à attirer l'attention, une sorte de routine éculée, répartie sur un grand nombre de comptes, afin de ne pas attirer l'attention sur la véritable cible et le véritable objectif.



Cet outil interne tout-puissant semble en effet avoir accès à tout ce qui est relatif à un compte.




 Il y a une excellente démonstration d'un tel "empoisonnement du puits" dans la cinquième saison du Bureau des Légendes.


Strictement parlant, si tu payes en cash avec une lettre, tu es pas anonyme car tu as posté la lettre donc on peut retrouver (caméra, témoins, timbre, etc).

Quand tu dis pseudonyme, c’est effectivement vrai si tu sors et rentre dans le réseau Tor, mais si tu restes dans le réseau, donc oui les .onion tu es anonyme (à l’exploit javascript près xD).



Ce que j’essaye d’expliquer c’est que les systèmes comme Tor, ou Bitcoin, sont effectivement des systèmes parfaitement anonyme. Les gens utilisent pseudonyme car ils prennent en compte le fait que tu dois rentrer et surtout sortir de ces systèmes. La porte de sortie est souvent liée au système IRL, qui lui n’a pas une garantie parfaite d’anonymité. Y’a toujours une trace. Même si tu mets en place une suite d’action ultra complexe, on peut toujours remonter vers toi. C’est qui est mathématiquement impossible dans le système Bitcoin.








Berbe a écrit :



&nbsp;



       Je rebondis sur cette réponse pertinente pour encourager ceux qui se posent l'excellente question que se pose dematbreizh à regarder via un explorateur de la blockchain BTC ce qui s'est passé avec les fonds de l'adresse utilisée pour le scam :             






       Via de nombreuses transactions, incluant de multiples comptes intermédiaires "passe-plats" (n'étant impliqués que dans 1 opération de réception + 1 opération d'émission du même montant), le solde s'est fait diluer sur une multitude de comptes au solde plus petit. J'en ai repéré quelques-uns dont le solde est, pour le moment en tous cas, dormant à 1 BTC tout rond.             






       Les opérations étant tracées, si le(s) instigateur(s), malgré cette dilution, essaie(nt) d'utiliser ces fonds directement pour des paiements de produits/services, celui/ux-ci pourront à son(leur) tour se faire tracer.             






       Cette dilution a donc selon moi un intérêt majeur : être en capacité de distribuer tous ces comptes à des "petites mains" plus ou moins inconscientes, et/ou qui, moyennant rémunération et sans trop se poser de question (appât du gain), prendront possession de ces comptes pour en utiliser le contenu.             

Il s'agira ni plus, ni moins, d'une opération de blanchiment. Il suffit pour cela que l'/es escroc(s) actuellement maître(s) de ces comptes vende(nt) l'accès à ces comptes moins chers que leur valeur nominale, en étant payé(s) par des moyens non-traçables (espèces, mandats, etc.). Ça nécessite un peu d'organisation, donc ça fait penser à du crime organisé... à moins qu'il ne s'agisse que d'un seul individu débrouillard ?

Le ratio prix de vente/valeur nominale déterminera la part de cet argent escroqué dont le(s) commanditaire(s) bénéficiera/ont réellement.







En fait il suffit pour ça d’utiliser des « pool » qui sont des intermédiaires de « confiance » qui acceptent des transactions en entrée de multiples émetteurs sur de multiples adresses et répartissent les coins vers de multiples récepteurs sans transactions directes.



Les humains derrière les adresses d’émission et de réception sont les mêmes mais les pool font en sorte que les bitcoins des uns se retrouvent dans les portefeuilles des autres.



Par exemple la pool peut faire ces transactions :

A transfère 1btc à B

C transfère 1btc à D



Derrière les portefeuilles A et D tu as la même personne, et c’est pareil pour C et B.



Fais cette opération des dizaines de fois avec des centaines d’emeteurs / récepteurs différents avec des montants aléatoires mais proches et des portefeuilles intermédiaires et tu ne peux plus vraiment remonter le fil des transactions.



”(caméra, témoins, timbre, etc).”



Tu exagères, une caméra, ça dépends où et si tu postes dans un boite situé à l’extérieur ou à l’intérieur de la Poste, les témoins ne te connaissent pas (même s’ils te connaissent, ne savent pas ce que tu postes sauf si tu leurs dit) et un timbre ne t’identifie pas.



J’utilise parfois Tor, c’est mon second navigateur et il est très utile pour se protéger contre la surveillance de masse, et son utilisation protège généralement mieux les données de connexions que le ferait un VPN parce qu’elle ne dépends pas que d’un seul point de défaillance.



Concernant le bitcoin, je ne m’attarderai pas plus dessus, n’étant pas expert sur le sujet, mais je te lis avec considération.


Bien sûr que j’exagère un peu, mais c’est pour illustrer que dans le “monde réel”, il y aura toujours des preuves.



Et pour ton utilisation de Tor, tu as parfaitement raison de dire que c’est mieux que les VPNs.








oXis a écrit :



Tu n’es pas anonyme vis à vis de la personne à qui tu donne le cash, contrairement au Bitcoin. C’est ce que je voulais dire.







Ca dépend. Si tu vas acheter 20g de shit à un dealer en bas d’un immeuble, tu lui montres pas ta carte d’identité.



Pour être en conformité avec les normes des SMSI (ISO 27001) il est nécessaire de séparer les droits pour que justement ceux qui ont des accès étendus ne puissent avoir trop de pouvoir. Dans les banques c’est un peu comme ça (m’enfin la BNP en tout cas), tout est cloisonné : les firewalls, proxy, comptes accès distants, WAF, BDD, sauvegarde, etc…

Peut être qu’on y verra plus clair lorsqu’ils se justifieront.








oXis a écrit :



Et pour ton utilisation de Tor, tu as parfaitement raison de dire que c’est mieux que les VPNs.







Ben, c’est pas mieux. C’est juste différent, c’est pas fait pour les mêmes usages. C’est comme si tu comparais LibreOffice et Outlook.

Ils sont complémentaires.



Je possède les deux, en fait tout dépends aussi des usages, de ce que l’on cherche et de son modèle de menace, bien sûr, pas de VPN avec Tor, c’est soi l’un ou l’autre.




Je ne suis pas sûr d'être autorisé à poster ce lien, mais voici l'une des source les plus fiables que je connaisse concernant Tor et ses différences avec un VPN.      





https://write.privacytools.io/my-thoughts-on-security/




Le VPN est privée par politique, Tor est privée par conception.

Je possède les deux, en fait tout dépends aussi des usages, de ce que l’on cherche et de son modèle de menace, bien sûr, pas de VPN avec Tor,&nbsp; c’est soi l’un ou l’autre.



Je ne suis pas sûr d’être autorisé à poster ce lien, mais voici l’une des source les plus fiables que je&nbsp; connaisse concernant Tor et ses différences avec un VPN.



https://write.privacytools.io/my-thoughts-on-security/



Le VPN est privée par politique, Tor est privée par conception.


je suis aussi catégorique car c’est justement mon coeur de métier ce genre d’appli ou logiciel et qu’il y a toujours des portes d’entrées de ce type, que ces outils soit mis en formes ou pas ça éxiste par défaut.

ça peut être la simple requêtes sur la base de prod, avec les bonnes info c’est fesable et quoi qu’on fasse ça le sera.

la seul variable sera les personnes aux courants des infos necessaire, il peut y en avoir aucune, mais dans ce cas je donne peu de durée de vie cette appli.


J’éprouve le même scepticisme, je ne comprends pas un tel déploiement de force pour seulement un gain de 100’000$, y’a quelque chose qui ne “colle pas” entre la cause et les consequences. Attendons de voir ce que dira l’enquête.


Comme d’hab l’interface chaise - clavier&nbsp;


Mais là tu extrapoles que l’outil (ou les outils) auquel le pirate a eu accès est direct le max disponible (pour raccourcir : SQL Studio par exemple).

Or là on n’en sait rien.



Évidemment que les outils existent pour tout. Mais l’accès à ces différents outils n’est pas forcement faisable depuis partout, par n’importe qui… c’est le principe.



Donc si effectivement le pirate a eu accès à un accès full yolo, et qu’il a pu taper dans la BDD directe, c’est un peu la loose pour Twitter. Ce genre d’outils/accès est normalement protégé à mort (PAM, procédure d’intégration, compte de service…).

Si l’outil exploité est un outil “moins full” mais qui permet de jouer avec l’API pour poster n’importe comment : là c’est une grave erreur de Twitter.



Donc si, affirmer sans savoir ce qui a été exploité et comment, c’est n’importe quoi.



Sinon on part du principe que c’est impossible à protéger comme tu le dis et… bizarre les banques ne tombent pas tous les 2 jours, et idem pour de nombreux services qui dépendent de BDD et d’outils similaire à Tweeter non ?


Je suis tout à fait d’accord, je répondait sur le questionnement de la présence de tels outils qui n’a pas lieu d’être



Le questionnement doit plutôt se faire sur les gestion des accès à ces dis outils effectivement afin de déterminer si il y a eu négligence de la par de twetter ou grosse ingérence de la part d’un ou plusieurs des employés ou même corruption d’un ou plusieurs des employés.



Pour moi la comparaison avec la banque ne tient pas vraiement dans le sens ou une banque ne travaille pas seul mais en réseaux et que même si il se passe quelque chose du genre déjà ça ne ressort pas publiquement imédiatement (comme pour twetter) et l’opération illicite peut être annulée sans grande conséquences. De plus je parierais pas sur le fait qu’aucun fait de ce genre n’a eu lieu dans une des banques dans le monde (j’aurais tendance a penser à l’affaire Kerviel mais je sais pas si on peut considérer ça comme comparable).


Si ce ne sont que 374 transactions sur des comptes qui doivent avoir des millions voire des dizaines de millions de vues, au contraire ça me donne l’impression que les gens ne sont pas si idiots qu’on voudrait le croire…


+1, il y aura forcément des gens plus crédules que d’autres… on a vu pire niveau non-crédibilité dans ce genre d’arnaques (en général plutôt par mail…). Donc 374 ça reste faible..!



…mais d’un autre côté en fait c’est très difficile à dire parce que ces tweets frauduleux sont restés très peu de temps en ligne, donc forcement visibilité réduite. Difficile de dire (en tout cas pour nous) le ratio de vue/arnaqués dans l’histoire.





J’espère que l’éventuel soudoiement de l’employé twitter n’aura pas coûté trop cher… <img data-src=" />


Le compte de Macron a aussi été piraté, mais au lieu de demander des sous, ils l’ont fait parler comme Trump <img data-src=" />


humainement probablement, avec un script python tu peux suivre tout ce que tu veux peux importe le nombre de transaction.








ndjpoye a écrit :



Même si je m’y attends, j’en reviens jamais de la crédulité de certaines personnes, surtout quand c’est poussé par l’appat du gain <img data-src=" />





C’est 100000 euros par transaction DTC.









zitrams a écrit :



C’est 100000 euros par transaction DTC.





<img data-src=" /> Et 374 gogo qui ne croiront plus au père Noël. <img data-src=" />

<img data-src=" /> Pour les 100000 euros par transaction, t’as lu un peu trop vite.



En analysant l’adresse de destination diffusée, on note que 374 transactions ont été effectuées pour plus de 100 000 euros, déjà récupérés.









choukky a écrit :



<img data-src=" /> Et 374 gogo qui ne croiront plus au père Noël. <img data-src=" />

<img data-src=" /> Pour les 100000 euros par transaction, t’as lu un peu trop vite.





En fait, j’avais bien lu mais j’ai mal écrit, j’aurais dû mettre un « s »&nbsp; à transactions !









zitrams a écrit :



En fait, j’avais bien lu mais j’ai mal écrit, j’aurais dû mettre un « s »  à transactions !





Je ne suis pas prof de français mais je pense qu’avec ou sans “s” ça change rien, “par” peut être remplacé par “à chaques”.

Je dirais plus “pour 100000 euros de transactions”.



Le « par » était à prendre au sens du moyen, comme dans « 100mL par injection ». Mais je ne suis pas non plus prof de français !

D’ailleurs en parlant de prof de français







Jarodd a écrit :



Le compte de Macron a aussi été piraté, mais au lieu de demander des sous, ils l’ont fait parler comme Trump <img data-src=" />



la sienne a dû lui taper sur les doigts !



Le fait de demander des bitcoins a dû jouer sur le faible montant. Je connais le bitcoin de nom, surtout pour son utilisation comme paiement quand on se fait chiffrer le pc, mais je ne sais pas payer en bitcoin. Pour moi, payer quelqu’un en bitcoin c’est comme si un prince nigérian me demandait un versement western union <img data-src=" />


@boogieplayer L’ attaque opère un peu comme un vaccin, obligeant désormais Twitter à se protéger efficacement contre l’ingénierie sociale, sans avoir provoquée un gros préjudice (100K.USD ?). Un prochain attaquant voulant utiliser les mêmes failles pour une manipulation politique d’envergure ne le pourra plus. Ça fait penser à un hacker sabordant un 0 day exploit. Aller plus loin dans l’extrapolation serait divaguer.



&nbsp;







boogieplayer a écrit :



Analyse pertinente.



Je reste quand même étonné de la finalité de l’assaut. Juste prendre de bitcoin, et finalement pas tant que ça puisqu’on parle de 100’000$ Tant d’énergie déployée dans l’attaque et son blanchiment pour un gain qui sera presque marginal compte tenu des enjeux. J’avoue être circonspect, j’ai l’impression qu’il y’a tout autre chose derrière ça. Wait & see




Ce système va surtout nous faire penser que B est le coupable, non ?

Donc comment B va-t-il convertir les Bitcoins en cash ?


B n’est légitimement pas au courant des activités pernicieuses de A. C’est sûr que passer par ces plateformes de “blanchiment” peut paraitre suspect mais ça peut tout à fait être pour une raison qu’on estime légitime (activisme politique, idéologie …) et surtout ça n’a rien d’illégal.



Dans la vraie vie c’est pareil, si un braqueur de banque t’achète un vélo avec un vrai billet qu’il a volé, tu ne devient pas coupable de recel (du billet) pour autant. Par contre le voleur en cas de condamnation est toujours redevable de la somme qu’il a volé.


Le bitcoin n’est pas si anonyme que ça. L’anonymat porte surtout sur les échanges. Sur la partie connexion au compte bitcoin c’est beaucoup moins anonyme. C’est un peu comme un VPN c’est difficile de voir ce qui passe dedans mais connaissant les identifiants c’est plus facile de trouver le propriétaire.


Le truc c’est qu’il existe plein de façon de retransformer les BTC en vrai argent de façon détournée…



Un exemple simple : les jeux vidéos qui proposent des transactions en ligne avec du bitcoin.

Les BTC disparaissent vers la société (qui n’y est pour rien), et ensuite pour retracer la ressourcer créer in-game avec cet argent… bon courage.



La solution simple pour le voleur est de revendre les comptes qu’il a bourré de contenu payant.



..bref tu as plein de moyens dans le genre. Les réseaux de blanchiment d’argent sont bien rodés.