À peine deux semaines auront suffi aux autorités américaines pour remonter aux personnes à l’origine du piratage massif de Twitter. Le ministère de la Justice des États-Unis a ouvert une procédure contre un Anglais de 19 ans et deux Américains de 22 et 17 ans, dans une prise de parole publiée le 31 juillet.
Le plus jeune d’entre eux, Graham Ivan Clark, serait le « cerveau » de l’opération, dixit le ministère. Le rapprochement entre son identité et le pseudonyme « Kirk » n’a pas été officiellement confirmé, mais de nombreux indices vont dans ce sens. Le New York Times a tiré le portrait du jeune homme, et dépeint un hacker particulier.
Clark ne fait pas partie de ces génies techniques, capables de trouver des failles inédites dans les lignes de codes qui composent les logiciels. Sa spécialité à lui est de s’en prendre au maillon faible de la chaîne de sécurité : l’humain. Pas besoin d’outil de hacking, pas besoin de coder : le lycéen buissonnier sait « juste » convaincre la bonne personne de prendre la mauvaise décision. Graham sait si bien le faire qu’il vivait à 17 ans dans sa propre maison californienne, montre Rolex en pierre précieuse au poignet, vêtu d’habits de luxe. Un train de vie richissime permis par une fortune de 3 millions de dollars en Bitcoin, amassée en à peine 2 ans — de manière légale, d’après son avocat.
Graham Clark est donc parvenu à prendre la main de 45 comptes parmi les plus influents de la plateforme (dont ceux de Joe Biden, Elon Musk, Bills Gates ou encore Kanye West), et a récolté près de 120 000 dollars en bitcoin, simplement avec des mots et de la ruse. Deux ans plus tôt, il arnaquait 50 dollars à des camarades de classe sur le jeu vidéo Minecraft.
Graham Clark, spécialiste des arnaques au bitcoin et du SIM-swapping
D’après les documents légaux publiés par le ministère, Clark a réalisé la première étape de son opération le 3 mai. Il a alors posé un pied dans les affaires du réseau social, mais n’avait pas encore accès à l’outil de modération qu’il utilisera pour le piratage.
Une enquête publiée par le New York Times peu après le piratage suggère qu’il a obtenu l’accès au logiciel Slack qui sert de messagerie aux équipes de l’entreprise, et non au réseau interne de Twitter lui-même. Les utilisateurs du Slack auraient épinglé les identifiants de l’outil de modération dans un des canaux de discussions accessibles à plusieurs employés, dont le compte piraté par Graham. Il n’avait plus qu’à les sauvegarder.
Mais pour réellement prendre le contrôle de l’outil de modération convoité, le hacker de 17 ans devait encore passer un dernier rideau de sécurité, d’après Twitter : la double authentification par téléphone. Concrètement, il devait récupérer un code envoyé sur le smartphone d’un des employés en plus des identifiants.
Graham Clark avait déjà réalisé un cybercasse de 856 000 dollars
Ça tombe bien : Graham Clark est un spécialiste du SIM-swapping, une technique qui consiste à s’emparer du numéro de téléphone de sa victime en baratinant ou en soudoyant des employés de l’opérateur téléphonique. Dans son portrait du jeune homme, le New York Times, lui attribue de piratage des portes-feuilles de cryptomonnaie du multimillionnaire Gregg Bennett, grâce à un SIM-swapping. L’an dernier, cet homme d’affaires avait perdu 164 bitcoins, l’équivalent de 856 000 dollars à l’époque, et le double aujourd’hui. Les autorités lui avaient rendu 100 bitcoins, au même moment où elles saisissaient 100 des 400 bitcoins de Clark, sans pour autant le condamner.
Si les documents n’offrent pas de détail sur les actions du pirate, Twitter évoquait une attaque de spear-phishing contre ses employés, ce qui pourrait correspondre à la tentative de SIM-swapping, et à la spécialité de Graham.
Des traces trop faciles à remonter pour le FBI
Une fois son hack réussi, Clark est allé sur Discord (une plateforme de discussion en ligne, avec des fonctionnalités similaires à un forum), sous le nom Kirk#5270. Il voulait vendre l’utilisation de l’outil de modération sous la forme de vol de compte à la demande. Puisqu’il était banni de la chaîne Discord OGUsers, spécialisé dans la revente de comptes de réseaux sociaux, il a convaincu deux futurs complices de faire affaire avec lui. Sur le forum, les complices se faisaient passer pour un employé de Twitter, et ils auraient vendu un accès individuel à différents comptes, à partir de 250 dollars l’unité. Les enquêteurs travaillent encore pour savoir qui a été touché par ces transactions.
Le FBI a profité d’une fuite de données d’un forum de hackers
Comment le ministère de la Justice a-t-il obtenu toutes ces informations ? Eh bien, le FBI a fait la demande auprès de Discord pour récupérer les logs (l’historique, ndlr) des discussions entre les trois jeunes hommes, grâce à des informations collectées par les médias et sur les réseaux sociaux. Cette procédure est commune à de nombreux logiciels et encadré par les lois américaines comme européennes. Et puisque les deux partenaires de Graham Clark faisaient des erreurs de débutants dans la couverture de leurs traces numériques, les autorités n’ont eu aucun problème à dérouler tout un pan d’information sur eux.
Le FBI a aussi consulté la base des utilisateurs de OGUsers, qui avait fuité publiquement en avril après un piratage. Oui, un forum de hacker s’était fait hacker. La base contient des adresses email, des adresses IP (l’adresse des machines utilisées, très utile pour remonter à des lieux, ndlr) et des messages privés. Pour finir, l’entreprise Coinbase a donné aux autorités des informations sur les adresses des portes-monnaies utilisés pour l’arnaque au Bitcoin.
La caution de libération de Graham Clark s’élève à 725 000 dollars, six fois plus que le montant obtenu grâce au piratage. Il devra se défendre face à 30 chefs d’accusation.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !