Dans la nuit du 15 au 16 juillet, Twitter a subi une des plus grosses cyberattaques de son histoire. Des dizaines de comptes parmi les plus suivi de la plateforme ont été compromis. Heureusement, les malfaiteurs ne se sont servis de leur accès « que » pour extorquer quelques dizaines de milliers de dollars.

Jeff Bezos, Kanye West, Barack Obama, Apple… Pendant près de 2 heures, dans la nuit du 15 au 16 juillet, des hackers ont pris la main sur certains des comptes les plus suivis de Twitter. Puis ils s’en sont servis pour promouvoir une arnaque aux cryptomonnaies.  Avec un succès relatif : en un peu moins d’une heure, ils sont parvenus à collecter l’équivalent de plus de 100 000 dollars en bitcoins à une de leurs trois adresses.

La situation semble désormais sous contrôle. Mais l’origine de l’attaque n’est pas encore maitrisée, et Twitter n’a pas encore rétabli le fonctionnement habituel de sa plateforme, a-t-il précisé sur son compte Twitter Support.

Le piratage du compte d’Elon Musk a fait comprendre que c’est tout Twitter qui était compromis. // Source : Numerama

Twitter, que s’est-il passé ?

Aux alentours de 22h30 heure française, le premier domino tombe. Le compte Twitter de Binance, une plateforme d’échange de cryptomonnaie, affiche un message d’arnaque, et renvoie vers un site de phishing :  « Nous avons lancé un partenariat avec cryptohealth[.]com et nous offrons 5 000 BTC [Bitcoin, ndlr]. » Dans la foulée plus d’une dizaine de comptes du secteur tweetent la même arnaque : Gemini, Coinbase, Coindesk mais aussi des influenceurs. Même le compte officiel du Bitcoin finit par être compromis. L’attaque a déjà pris une proportion gigantesque. Mais ce n’est que le début.

L’alarme générale est sonnée lorsque le compte de Elon Musk publie une autre version de l’arnaque : « Je me sens généreux, je vais doubler tous les paiements en BTC envoyés à mon adresse. Vous envoyez 1 000$, je renvoie 2 000$ ! Je ne vais faire ça que pendant 30 minutes.
bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh »

100 000 dollars en une demi-heure

La suite de caractères à la fin du message est l’adresse d’un porte-monnaie de bitcoin qui va rapidement devenir célèbre. Et pour cause : elle est reprise dans des messages similaires à quelques détails près de Bill Gates, Barack Obama, Apple, Kanye West ou encore Mike Bloomberg. C’est le signe que l’attaque vient de la même personne, ou du moins, de la même organisation.

Barack Obama aussi a été victime du hack.

S’il est pratiquement impossible de tracer les transferts de Bitcoin, le montant du porte-monnaie est quant à lui public. Et il grimpe. Vite. Au bout d’une demi-heure, le pirate a extorqué l’équivalent en Bitcoin de 100 000 dollars, et il commence déjà à les retirer de son porte-monnaie.

À la fin d’une heure de chaos total, Twitter parvient enfin à modérer sa plateforme et supprime certains des messages. D’autres comptes de célébrités sont piratés, mais immédiatement neutralisés.

Au final, le réseau social a eu plus de peur que de mal. Les hackers se sont servis de leur accès exceptionnel pour promouvoir une arnaque basique et bien connue. Ils n’ont finalement causé que des dégâts très limités, alors qu’ils auraient pu, potentiellement, déclencher un gigantesque incident diplomatique ou bouleverser la Bourse.

130 comptes compromis, pas d’accès aux mots de passe.

Le 18 juillet, après deux jours d’enquête, Twitter recense 130 comptes « ciblés d’une façon ou d’une autre » par les attaquants. Mais pour seulement 45 d’entre eux les hackers ont pu réinitialisé le mot de passe et ainsi prendre le contrôle du compte et envoyer un message. Pour 8 comptes — tous non vérifiés d’après Twitter –, les malfaiteurs ont au moins tenté de télécharger les données du compte.

Le réseau social n’a pas trouvé de preuve que les assaillants ont eu accès au mot de passe de leurs cibles, et n’a donc pas lancé de réinitialisation de mots de passe.

Comment Twitter a-t-il réagi au piratage ?

Un peu plus d’une heure après le début de l’attaque, le compte Twitter Support publie un premier message, avertissant qu’il est en train de travailler sur le problème.

Rapidement, le réseau social bloque plusieurs fonctionnalités, dont celle de changement de mots de passe. L’objectif : contrecarrer l’exploitation d’une éventuelle vulnérabilité sur une des fonctionnalités, et ainsi arrêter le vol de comptes. Parallèlement, il lance une suppression automatique de tous les messages d’arnaque, suivi d’un verrouillage des comptes touchés.

Mais ces premières mesures ne stoppent pas l’hémorragie, Twitter décide alors d’appuyer sur le bouton rouge : tous les comptes vérifiés — même ceux qui ne sont pas compromis — ne peuvent plus publier de message. Cette restriction a été maintenue pendant près de 2 heures avant d’être levée.

Dans la nuit du 16 au 17 juillet, l’entreprise a donné d’autres précisions : elle n’a pas trouvé de raison de réinitialiser les mots de passe « pour l’instant ».  Ensuite, si quelques utilisateurs ne peuvent toujours pas réinitialiser leur mot de passe, la fonctionnalité devrait être disponible pour la majorité des comptes. Ce n’est pas le cas de l’outil de téléchargement des données de Twitter, toujours désactivé sur tous les comptes, afin d’empêcher toute fuite de données.

Au lendemain de l’attaque, certains comptes sont encore verrouillés, mais cela ne signifie pas forcément que le compte a été piraté, précise Twitter. La récupération de ces comptes pourrait être relativement longue, puisque le réseau social prend « des mesures supplémentaires » pour s’assurer qu’ils le rendent à son vrai propriétaire.

Twitter travaille encore sur une façon de réparer le problème pour revenir à la normale et avertit que les restrictions pourraient de nouveau être déployées.

Comment les hackers ont-ils piraté Twitter ?

C’est grande question de l’attaque : comment Twitter a-t-il été piraté ? Les capacités des hackers semblent sans limites, et c’est le réseau social entier qui semble compromis.

Les théories fusent, jusqu’à ce que le réseau social donne les premières conclusions de son enquête, environ 6 heures 5 heures après le début de l’attaque : « Nous détectons ce que nous pensons être une attaque d’ingénierie sociale coordonnée par des personnes qui ont ciblé avec succès certains de nos employés et obtenus un accès à notre système et à nos outils internes. »

Concrètement, le hacker a eu accès aux fonctionnalités de modération d’un employé de l’entreprise : il pouvait supprimer un compte, le bannir, le verrouiller, ou encore s’en servir pour changer l’adresse email liée à un compte. Des captures d’écran de l’interface ont circulé sur des réseaux de hackers puis sur Twitter, mais l’entreprise les a systématiquement bannis pour violation des conditions d’utilisation.

Un certain « Kirk » derrière l’attaque ?

Twitter évoque la piste de l’ingénierie sociale, c’est-à-dire d’un piratage par la discussion sans manipulation technique, comme c’est le cas dans de nombreux phishings. Son employé aurait cliqué sur un lien frauduleux, téléchargé une pièce jointe malveillante ou tout simplement communiqué ses identifiants. Une autre piste, évoquée par une source interne de Motherboard, serait que l’employé a donné volontairement l’accès à son compte, potentiellement contre rémunération.

Techcrunch mentionne de son côté le nom de Kirk, un utilisateur d’un forum de hacker. Il aurait tenté de vendre des accès à des comptes Twitter grâce à l’outil, moyennant un paiement en Bitcoin. Finalement, il aurait décidé de tout pirater lui-même. Banco : en une demie-heure, il a récolté bien plus d’argent que pour ses ventes à l’unité.

Dans un article publié le 17 juillet sur les « dessous du hack », le New York Times évoque également le nom de Kirk. D’après le site, qui indique avoir discuté avec 4 personnes impliquées dans l’opération, le hack serait l’œuvre d’un « groupe de jeunes personnes ». La façon dont Kirk a obtenu l’accès reste quant à elle mystérieuse. Mais un des témoins, Joseph O’Connor, client de Kirk sous l’alias PlugWalkJoe, évoque une piste : Kirk aurait eu accès au Slack (un logiciel de messagerie) interne de Twitter, sur lequel il aurait retrouvé les identifiants. Ce serait un équivalent numérique du post-it avec les mots de passes collé sur le bureau…

Et maintenant ?

L’attaque n’est pas finie, Twitter doit encore identifier son origine exacte et apporter une réparation durable au problème. L’entreprise promet de donner des détails sur son enquête dans le futur. Plusieurs questions n’ont pas de réponse : quel phishing a été utilisé pour prendre le contrôle du compte ? Pourquoi un employé a-t-il autant de pouvoir ? Les hackers ont-ils eu accès aux messages des comptes piratés ?

Un point intrigue les experts : le hacker disposait d’une faille massive, mais il n’en a tiré que très peu de gain, seulement un peu plus d’une centaine de milliers de dollars. Pourtant, il aurait pu vendre son outil pour bien plus cher sur certains forums de hackers. Ou alors, il aurait pu déployer un schéma d’arnaque plus fin que sa vulgaire arnaque au bitcoin, ou encore attendre un moment plus propice pour lancer son attaque. A-t-il simplement manqué de créativité ?

Quoiqu’il en soit, Twitter envoie un signal catastrophique sur sa sécurité, alors que l’élection présidentielle américaine, sur laquelle plane l’ingérence russe, se tiendra à la fin de l’année. Le hacker a décidé de ne pas prendre le contrôle du compte très prolifique de Donald Trump, mais il aurait pu. Il n’a d’ailleurs pas hésité à s’emparer de celui de son futur adversaire, Joe Biden. Vu l’utilisation du réseau par l’actuel président américain, nous sommes passés à deux doigts d’une catastrophe d’une ampleur tout autre.

Article mis à jour le 17 juillet  à 10h06 avec les nouvelles informations communiquées par Twitter. Seconde mise à jour le 20 juillet à 14h16 avec les nouvelles précisions du réseau social, et les détails de l’enquête du New York Times

Partager sur les réseaux sociaux