Twitter donnerait un grand pouvoir de modération à de nombreux collaborateurs, d'après Reuters. Plus de 1 000 employés auraient le même niveau d'autorisation qui a permis le piratage massif de plusieurs comptes de la plateforme, dans la nuit du 15 au 16 juillet.

Twitter distribue-t-il trop de pouvoir ? D’après Reuters, qui cite deux anciens de l’entreprise, plus de 1 000 employés et sous-traitants de Twitter avaient encore accès, début 2020, aux outils de modération qui ont servi au piratage du réseau social.

Dans la nuit du 15 au 16 juillet, un ou plusieurs individus ont mis la main sur 45 comptes Twitter, dont ceux de Kanye West, Elon Musk ou encore Joe Biden. Ils s’en sont servi pour lancer une arnaque au bitcoin, qui leur a permis de récolter plus de 120 000$ en à peine deux heures, malgré la réactivité des plateformes de cryptomonnaies.

Grâce à l’outil de modération interne, les pirates ont pu se saisir de 45 comptes. // Source : Louise Audry pour Numerama

D’après Twitter, le ou les pirates ont récupéré l’accès à des outils internes grâce à une opération de phishing ciblé. Si les enquêteurs n’ont pas encore donné leurs conclusions sur le déroulé exact de l’incident, des captures d’écran de l’outil de modération utilisé circulaient dès le soir de l’événement. Twitter les a supprimés pour violation de ses conditions d’utilisation, et a banni temporairement les comptes qui les publiaient.

Parmi les nombreuses fonctionnalités de l’outil se trouvait la possibilité de changer l’adresse email liée à un compte. Les pirates n’avaient plus qu’à lier le compte de Bill Gates ou Jeff Bezos à une adresse en leur possession, puis à réinitialiser le mot de passe. Bingo ! Ils pouvaient tweeter leur arnaque.

Une opportunité en or pour les lanceurs de phishing

En septembre 2019, Twitter annonçait dans un document officiel qu’il comptait plus de 4 600 employés. Si les informations de Reuters sont confirmées — Twitter n’ayant pas réagi pour l’instant — alors plus d’1 employé sur 5 aurait pu être à l’origine du piratage.

Pour Rachel Tobac, CEO de SocialProof Sec, cet accès généralisé facilite la tâche des pirates : «  En tant que hacker embauchée pour faire de l’ingénierie sociale [pirater sans outils techniques, ndlr] dans des organisations, ce serait une surface d’attaque rêvée. Cela signifie que si j’obtiens un accès à des identifiants d’une cible chez Twitter durant une campagne de phishing ciblé par exemple, j’aurais 1 chance sur 5 qu’il me mène vers un accès de niveau administrateur. »

Et ce n’est pas tout, Reuters indique que des sous-traitants disposent aussi de ce haut  niveau d’autorisation. Ce serait notamment le cas d’employés de Cognizant, une société de conseil spécialisée en informatique.

Twitter va devoir grandement s’améliorer avant l’élection présidentielle

Malgré la communication abondante de Twitter sur son piratage, de nombreuses questions restent en suspens. Par exemple, des experts s’étonnent qu’à aucun moment, le pirate n’ait eu besoin de la validation d’un second compte de modérateur pour changer à la chaîne des identifiants sensibles sur des comptes aussi suivis.  Ou encore, ils s’étonnent qu’aucun système d’alerte n’ait permis à Twitter d’identifier plus rapidement l’outil interne compromis.

Joe Biden déjà piraté

À la suite de précédents problèmes — deux anciens employés sont accusés d’espionnage pour le compte de l’Arabie Saoudite –, Twitter a déjà mis en place des enregistrements réguliers de l’activité (ou logs) de ses modérateurs, afin d’alimenter ses enquêtes internes. Les logs ont une utilité a posteriori, puisqu’ils permettent de tracer un historique des actions, mais ils n’offrent pas de défense proactive.

Si l’état de la sécurité de Twitter est aussi catastrophique que Reuters le souligne, le réseau social va devoir opérer d’importants changements en amont de l’élection présidentielle américaine. Elle se tiendra le 3 novembre 2020, et le spectre de l’ingérence russe (et ses nombreux hackers) plane déjà. Le compte du candidat démocrate Joe Biden a été compromis sans conséquence cette fois, mais un nouveau piratage pourrait s’avérer dangereux, d’autant plus que son opposant Donald Trump a un usage intensif de Twitter. Au réseau social de prouver qu’il saura protéger les comptes essentiels au bon déroulement de l’élection : que ce soit les comptes de médias, ceux liés aux candidats candidat, ou encore les comptes d’institutions.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux