Le journal néerlandais De Volkskrant se fait l’écho d’un chercheur en cybersécurité indépendant, qui serait parvenu à deviner le mot de passe de Donald Trump, et à se connecter à son compte. Des doutes planent sur cette affirmation.

L’information paraît hallucinante, mais avec le président des États-Unis, on se dit que tout est possible. Le 22 octobre, le très sérieux journal néerlandais De Volkskrant a repris et confirmé l’information d’un de ses confrères, le magazine spécialisé Vrij :

Un hacker connu dans le milieu, Victor Gevers, serait parvenu à se connecter au compte Twitter du président américain Donald Trump, le célèbre @realDonaldTrump. Pour y parvenir, il lui aurait suffi d’essayer des mots de passe qu’il pensait plausibles. Après quatre essais non concluants, il a tenté « maga2020! ». Ce mot de passe évident — « maga » est l’acronyme du slogan de campagne de Trump, « Make America Great Again » — lui aurait permis de prendre la main sur le compte.

Non seulement le mot de passe est extrêmement peu robuste, mais il a suffi pour accéder au compte, car ce dernier n’était pas protégé par la double authentification (2FA). Cette option de sécurité, disponible sur de nombreux sites, permet de se protéger contre une fuite de son mot de passe.

Image d'erreur

Plus rien ne surprend quand il s’agit de Donald Trump. // Source : CCO/Gage Skidmore, Flickr

Pour se connecter à un compte protégé par la 2FA, il faut non seulement l’identifiant et le mot de passe du compte, mais aussi un code envoyé par Twitter. Le réseau social propose de l’envoyer par SMS sur votre smartphone, ou sur une application d’authentification (comme Google Authenticator). Pour encore plus de sécurité, Twitter offre la possibilité à ses utilisateurs de paramétrer une clé physique, qu’il devra brancher pour se connecter au compte.

Ce qu’affirment les journaux néerlandais est donc choquant : le compte Twitter de Donald Trump, principal canal de communication d’un des hommes les plus puissants du monde, suivi par 87 millions de personnes, n’était protégé que par un mot de passe minable ? Le tout, à moins de deux semaines de l’élection présidentielle qui l’opposera au candidat démocrate Joe Biden, et alors que les autorités s’inquiètent des tentatives d’ingérence russe.

Des doutes sur l’intrusion que seul Twitter peut lever

Victor Gevers n’est pas un inconnu dans le milieu : il publie régulièrement des recherches, jugées sérieuses par les personnes du milieu que Numerama a contacté. Parfois taxé d’être un peu trop à la recherche du sensationnalisme, le quadragénaire publie cependant des informations étayées, et siège à l’institut néerlandais des divulgations de failles.

En 2016, déjà à quelques jours des dernières élections américaines, il avait déjà affirmé s’être connecté au compte Twitter de Donald Trump, grâce à un mot de passe contenu dans une fuite populaire de LinkedIn : « yourefired » (« vous êtes viré », en anglais). Avec trois autres chercheurs, il avait publié sa trouvaille. Sauf que sans déclaration du réseau social ni des équipes de Donald Trump, les comparses n’avaient comme preuves que des captures d’écran, laissant planer un doute.

Cette fois, il pourrait en être autrement : Twitter enregistre toutes les interactions du compte, et devrait en théorie pouvoir confirmer ou contredire les propos du chercheur. Et dans les premiers retours donnés à certains confrères américains, le réseau social explique qu’il ne peut pour l’instant « pas corroborer » les propos de la presse néerlandaise.

Twitter a déployé des protections supplémentaires sur les comptes impliqués dans l’élection

Victor Gevers a expliqué aux journalistes néerlandais qu’il a tenté de contacter le président, et toute personne susceptible de s’occuper du problème : les enfants du président, l’équipe de campagne Team Trump, les équipes de sécurité de Twitter, ou encore les institutions en charge de la sécurité nationale américaine. Il est même allé faire des demandes sur Parler, le Twitter de la droite dure, où sont inscrits de nombreux soutiens du président candidat.

Pendant plusieurs jours, il n’a pas obtenu de retour, jusqu’à ce que l’antenne néerlandaise des services secrets américains entre en contact avec lui. Le journal Volkskrant a accédé à la discussion entre le chercheur et les autorités, qui ont pris au sérieux son rapport et ont augmenté la sécurité du compte. L’incident a été clos le mardi 20 octobre.

Après le catastrophique piratage massif de plusieurs comptes Twitter très suivis en juillet, le réseau social expliquait avoir donné de nouveaux outils aux comptes impliqués dans l’élection pour se protéger. Si les propos de Victor Gevers étaient confirmés par un tiers, ce serait un énorme revers pour la stratégie de sécurité du réseau social, car une question apparaît évidente : pourquoi n’obligent-ils pas les comptes sensibles à utiliser un mot de passe robuste, ou la double authentification ?

Cette histoire arrive ironiquement à peine quelques jours après que Donald Trump a déclaré que « personne ne se fait hacker ». À voir s’il s’est fait lui-même pirater.

une comparateur meilleur gestionnaire mdp numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !