Comment les hackers de Twitter ont-il mis la main sur un outil de modération de l’entreprise ? D’après le réseau social, ils seraient parvenus à piéger des employés avec du phishing ciblé envoyé sur leur téléphone.

Après 15 jours d’enquête, Twitter a enfin identifié la cause de son piratage. Dans un communiqué publié le 30 juillet, l’entreprise indique que les attaquants ont ciblé un petit nombre d’employés avec du « spear phishing », la forme la plus élaborée et personnalisée d’hameçonnage, envoyé sur leur smartphone. L’entreprise écarte ainsi la piste du soudoiement de ses employés par les malfaiteurs, évoquée par certains médias.

« L’attaque s’appuyait sur une tentative significative et concertée de tromper certains de nos employés et d’exploiter des vulnérabilités humaines pour gagner un accès à nos systèmes internes », déclare-t-elle.

Image d'erreur

Le phishing, encore le phishing, toujours le phishing. // Source : Twitter

L’objectif de la manœuvre : dérober les identifiants de certains employés avec des positions clés dans l’entreprise afin d’obtenir un accès au réseau interne de Twitter. Le groupe américain précise que les cibles n’avaient pas toutes l’autorisation d’utiliser les outils de gestion de modération qui ont servi à s’emparer des comptes de Jeff Bezos, Kanye West, et du Bitcoin. Mais les attaquants ont pu se servir de ces comptes internes pour en piéger d’autres, qui eux avaient l’accès.

Le phishing est (presque) toujours à l’origine du piratage

D’après ces premiers détails, l’attaque contre Twitter relève purement de l’ingénierie sociale : les hackers ont piégé leur victime uniquement avec des mots et quelques subterfuges. Pas de malware complexe ni d’exploitation de bugs techniques dans l’équation. Ils ont simplement obtenu l’accès au puissant outil de modération grâce à un scénario bien huilé.

Pour aller plus loin

C’est tout le problème du phishing. Une entreprise peut déployer autant de défenses qu’elle souhaite, si ses employés n’appliquent pas en tout temps certaines mesures d’hygiène numérique, elle pourra toujours être compromise. « C’était un rappel frappant de l’importance de chaque membre de notre équipe dans la protection de notre service », constate le réseau social. Un seul moyen pour se protéger du phishing : former régulièrement ses employés sur le sujet.

Twitter s’en sort à moindres frais : les pirates auraient pu profiter de leur accès au réseau interne pour déployer un logiciel espion ou un rançongiciel, ou encore manipuler les propos des personnes piratés à des fins politiques. Mais les malfaiteurs se sont contentés d’extorquer quelques dizaines de milliers de dollars grâce au hack de 45 comptes.

Les questions sans réponses

Si l’entreprise fait un travail de communication rare sur l’incident, elle n’a toujours pas commenté officiellement les affirmations de Reuters. L’agence de presse, qui cite plusieurs ex-employés de Twitter, avance que plus de 1 000 salariés (plus de 20 % des effectifs) et sous-traitants de l’entreprise avaient accès à l’outil de modération exploité par les pirates.

Le réseau social adresse tout de même cette histoire à demi-mot : « Nous avons des équipes partout dans le monde qui aident à la gestion des comptes. Nos équipes utilisent des outils propriétaires pour aider à résoudre une grande variété de problèmes (…). L’accès à ces outils est strictement limité, et accordé seulement pour des raisons valides ». Il affirme d’ailleurs « surveiller activement » l’usage de l’outil et avoir une « tolérance zéro » pour les détournements.

L’attaque n’est toujours pas finie, et l’enquête n’est pas terminée. Twitter limite encore l’utilisation de ses outils et des accès internes, avant de déployer une version améliorée. « Le temps que nous puissions reprendre notre activité en toute sécurité, nos temps de réponse pour certaines demandes sera ralenti », prévient l’entreprise.

une comparateur meilleur gestionnaire mdp numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.