Twitter distribue-t-il trop de pouvoir ? D’après Reuters, qui cite deux anciens de l’entreprise, plus de 1 000 employés et sous-traitants de Twitter avaient encore accès, début 2020, aux outils de modération qui ont servi au piratage du réseau social.
Dans la nuit du 15 au 16 juillet, un ou plusieurs individus ont mis la main sur 45 comptes Twitter, dont ceux de Kanye West, Elon Musk ou encore Joe Biden. Ils s’en sont servi pour lancer une arnaque au bitcoin, qui leur a permis de récolter plus de 120 000$ en à peine deux heures, malgré la réactivité des plateformes de cryptomonnaies.
D’après Twitter, le ou les pirates ont récupéré l’accès à des outils internes grâce à une opération de phishing ciblé. Si les enquêteurs n’ont pas encore donné leurs conclusions sur le déroulé exact de l’incident, des captures d’écran de l’outil de modération utilisé circulaient dès le soir de l’événement. Twitter les a supprimés pour violation de ses conditions d’utilisation, et a banni temporairement les comptes qui les publiaient.
Parmi les nombreuses fonctionnalités de l’outil se trouvait la possibilité de changer l’adresse email liée à un compte. Les pirates n’avaient plus qu’à lier le compte de Bill Gates ou Jeff Bezos à une adresse en leur possession, puis à réinitialiser le mot de passe. Bingo ! Ils pouvaient tweeter leur arnaque.
Une opportunité en or pour les lanceurs de phishing
En septembre 2019, Twitter annonçait dans un document officiel qu’il comptait plus de 4 600 employés. Si les informations de Reuters sont confirmées — Twitter n’ayant pas réagi pour l’instant — alors plus d’1 employé sur 5 aurait pu être à l’origine du piratage.
Pour Rachel Tobac, CEO de SocialProof Sec, cet accès généralisé facilite la tâche des pirates : « En tant que hacker embauchée pour faire de l’ingénierie sociale [pirater sans outils techniques, ndlr] dans des organisations, ce serait une surface d’attaque rêvée. Cela signifie que si j’obtiens un accès à des identifiants d’une cible chez Twitter durant une campagne de phishing ciblé par exemple, j’aurais 1 chance sur 5 qu’il me mène vers un accès de niveau administrateur. »
Et ce n’est pas tout, Reuters indique que des sous-traitants disposent aussi de ce haut niveau d’autorisation. Ce serait notamment le cas d’employés de Cognizant, une société de conseil spécialisée en informatique.
Twitter va devoir grandement s’améliorer avant l’élection présidentielle
Malgré la communication abondante de Twitter sur son piratage, de nombreuses questions restent en suspens. Par exemple, des experts s’étonnent qu’à aucun moment, le pirate n’ait eu besoin de la validation d’un second compte de modérateur pour changer à la chaîne des identifiants sensibles sur des comptes aussi suivis. Ou encore, ils s’étonnent qu’aucun système d’alerte n’ait permis à Twitter d’identifier plus rapidement l’outil interne compromis.
Joe Biden déjà piraté
À la suite de précédents problèmes — deux anciens employés sont accusés d’espionnage pour le compte de l’Arabie Saoudite –, Twitter a déjà mis en place des enregistrements réguliers de l’activité (ou logs) de ses modérateurs, afin d’alimenter ses enquêtes internes. Les logs ont une utilité a posteriori, puisqu’ils permettent de tracer un historique des actions, mais ils n’offrent pas de défense proactive.
Si l’état de la sécurité de Twitter est aussi catastrophique que Reuters le souligne, le réseau social va devoir opérer d’importants changements en amont de l’élection présidentielle américaine. Elle se tiendra le 3 novembre 2020, et le spectre de l’ingérence russe (et ses nombreux hackers) plane déjà. Le compte du candidat démocrate Joe Biden a été compromis sans conséquence cette fois, mais un nouveau piratage pourrait s’avérer dangereux, d’autant plus que son opposant Donald Trump a un usage intensif de Twitter. Au réseau social de prouver qu’il saura protéger les comptes essentiels au bon déroulement de l’élection : que ce soit les comptes de médias, ceux liés aux candidats candidat, ou encore les comptes d’institutions.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !