Twitter s’est fait pirater, mais on a de la chance !

Durant la nuit du mercredi 15 juillet au jeudi 16, Twitter a subi une cyberattaque massive, qui a permis à des acteurs encore inconnus de prendre le contrôle d’un nombre important de comptes Twitter et de voler plus de 116’000$.

Durant la nuit du 15 juillet, vers 23h, nous avons vu apparaître un nombre important de tweets publiés sur le compte de personnalités américaines connues (Barack Obama, Joe Biden, Jeff Bezos, Bill Gates, Apple, Uber, Elon Musk,…). Tous ces tweets était pratiquement identiques et incitait le lecteur à transmettre un montant (en bitcoin) sur un compte avec la promesse d’en recevoir le double en retour. Bien entendu il s’agit d’une arnaque et aucun versement en retour n’a été observé.

En quelques heures le service de support de Twitter avait acquitté le problème et commencé à implémenter des solutions de protection radicales, consistant principalement à empêcher les comptes Twitter vérifiés de publier de nouveaux messages. En effet seuls ce type de compte semble avoir été utilisé par les pirates. En parallèle les messages frauduleux ont été rapidement effacés.

Comment s’est passé l’attaque ?

Dans le principe, ce n’est pas une première, il arrive régulièrement que des comptes Twitter de personnes connues soient compromis. Mais il s’agit presque systématiquement d’un problème lié à l’utilisateur ou un tiers (mot de passe trop faible, spearphishing, sim-swapping).

Le cas que nous rencontrons ici est drastiquement différent car plusieurs dizaines (peut-être plus) de comptes ont été affectés en même temps. Il semble peu probable que tous ces acteurs aient perdus l’accès à leurs comptes en même temps. Depuis le début les indices pointent vers un problème de sécurité dans le système de Twitter. Ce qui fini par être confirmé par le service de support de l’entreprise, qui précise qu’une attaque de type « social engineering » a ciblé ses collaborateurs, manifestement avec succès.

Il est donc clair qu’une personne chez Twitter a donné, peut-être involontairement, un accès à un acteur malveillant à une interface qui avait des accès suffisants pour permettre un tel résultat. La conclusion est donc que certains employés de Twitter ont des droits accès étendu aux comptes des utilisateurs (probablement au minimum un droit permettant la modification de l’adresse courriel et/ou N° de téléphone de récupération du compte, permettant ainsi une usurpation d’identité).

On a de la chance !

L’histoire aurait pu avoir des conséquences beaucoup plus dramatiques que de voir quelques pigeons se faire délester d’un total de 116’000 dollars[3]. Nous imaginons deux scénarios à ce stade :

  • Soit les attaquants sont des amateurs et n’ont pas bien réalisé le potentiel des accès qu’ils avaient entre les mains. L’option n’est pas encourageante car elle signifie qu’un outil aussi reconnu et influent que Twitter peut être instrumentalisé facilement.
  • Soit les attaquants étaient très professionnels, mais n’avaient pas comme objectif de créer un maximum de dégâts. On pourrait par exemple envisager que cette attaque soit une contre-attaque au bannissement de TikTok de la plupart des entreprises US.

Il est impossible à ce stade de se prononcer précisément sur les causes et intérêts derrière cette attaque, mais une chose semble évidente : les conséquences auraient pu être dramatiques ! Oui, nous avons de la chance que le groupe derrière cette démarche n’ait pas décidé, par exemple, de twitter en lieu et place du président des USA et des membres de son gouvernement pour annoncer que des missiles nucléaires sont déjà en route vers l’est [2]. Ou encore, pour annoncer de nouvelles sanctions économiques à l’encontre de la Chine, provoquant ainsi une chute des marchés financiers.

Cet événement affaiblira le réseau aux milles chants d’oiseaux de manière durable, car il devient à présent évident que les employés ont des possibilités d’accès aux différents comptes hébergés. D’autres événements plus restreints avaient déjà eu lieu (espionnage d’opposants politiques, harcèlement,…), mais aucun n’avait permis une telle remise en cause de la confiance que l’utilisateur place(ait) dans l’application. Reste à voir si les utilisateurs sauront s’en passer et si Twitter saura restaurer la confiance.

Sources :

[1]https://www.theverge.com/2020/7/15/21326656/twitter-hack-explanation-bitcoin-accounts-employee-tools

[2]https://www.theverge.com/interface/2020/7/15/21325708/twitter-hack-global-security-crisis-nuclear-war-bitcoin-scam

[3]https://www.blockchain.com/btc/address/bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh