« Il a pris le contrôle des comptes de personnes célèbres, mais l’argent qu’il a volé appartient à des personnes normales, qui travaillent dur », estime Andrew Warren, procureur de Hillsborough State, en Floride. « Il », c’est Graham Clark, un hacker qui vient tout juste de souffler ses 18 bougies… et d’être condamné à 3 ans de prison ferme suivi de 3 ans de probation, à la suite d’un procès dans lequel il a plaidé coupable. Pendant la nuit du 15 au 16 juillet 2020, le jeune américain avait réussi un des coups les plus remarqués de ces dernières années. Il était parvenu à prendre le contrôle de dizaines de comptes Twitter, dont ceux d’Elon Musk, de Barack Obama, de Kanye West, ou encore de plusieurs entreprises spécialisées dans les cryptomonnaies comme Coinbase et Binance.
Le piratage du compte d’Elon Musk a fait comprendre que c’est tout Twitter qui était compromis. // Source : Numerama
Son objectif : se servir de la popularité des comptes pour promouvoir une arnaque extrêmement simple. Les célébrités piratées promettaient à leur lectorat — plusieurs millions d’abonnés, et encore plus de personnes atteintes — de doubler tout montant de bitcoin qui serait envoyé à une certaine adresse. L’entourloupe vous paraît évidente ? Elle ne l’était pas pour tout le monde : en l’espace d’à peine 2 heures, le temps que Twitter trouve une parade contre le piratage, Clark et ses acolytes avaient récolté l’équivalent de 120 000 dollars en bitcoin. Et encore, le butin aurait pu être bien plus lourd, sans la réaction de Coinbase, qui a bloqué les envois vers le portefeuille de cryptomonnaie des malfaiteurs. Ce n’est pas tout : cette somme est estimée au cours de l’époque, les bitcoins saisis valent plus de quatre fois plus cher aujourd’hui.
3 ans de prison ferme
Deux semaines après l’incident, les autorités étaient déjà remontées jusqu’à Graham Clark, cerveau de l’opération, qu’il avait menée avec 3 autres jeunes hommes rencontrés sur Discord. Il faut dire que le FBI, l’inspection financière et le renseignement américain étaient sur le dossier, comme le rappelle le Bleeping Computer. Clark, 17 ans à l’époque, se trouvait dans la maison californienne qu’il venait d’acheter grâce à une fortune en bitcoin amassée en à peine 2 ans — légalement, d’après son avocat. Spécialiste du phishing, il était parvenu à récupérer les identifiants — y compris le code de double authentification — d’un employé de Twitter, simplement en envoyant de faux messages et des appels frauduleux. Il avait ainsi accédé aux outils de modération de Twitter — auxquels 20 % des employés de l’entreprise avaient accès à l’époque — qui lui ont permis de prendre le contrôle des comptes.
La première session de son procès public, débuté dès le début d’août 2020, avait été interrompue par un zoombombing pornographique. Finalement, Graham Clark aura passé les 7 mois suivants derrière les barreaux, en attente de la sentence, et ils seront déduits de sa peine ferme de 3 ans. Mineur au moment des faits, le hacker est considéré comme tel dans ce jugement, et c’est en partie pourquoi la peine n’est pas plus longue.
Le procureur Warren espère faire de ce procès un épouvantail pour d’autres : « Graham Clark a besoin d’être tenu responsable de ce crime, et les autres arnaqueurs potentiels doivent faire face aux conséquences ». L’arnaque au bitcoin est une des plus répandues, que ce soit sur YouTube ou par message sur les apps de discussion.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
