Celui qui voulait pirater Twitter (1/4)
En juillet 2020, des comptes de célébrités sur Twitter deviennent le relais d'une sombre arnaque à la crypto. Mais qui a réussi à vaincre la sécurité du célèbre réseau social?
Bonsoir!
Votre newsletter Pwned consacrée au cybercrime reprend du service ce soir pour une troisième saison. Au programme, dix nouveaux récits de polars technologiques d’ici l’été prochain, distillés en plusieurs volets dans votre boîte mail.
Ce sera un mix d’affaires anciennes ou récentes, petites ou grandes, et qui disent quelque chose de la criminalité numérique et de notre rapport à la technologie.
Au passage, pour votre info, pour améliorer Pwned, toujours relue par le vigilant Mnyo, je vais suivre cet automne le programme d’incubation “Horizons” de Creatis dédié aux médias émergents. Cela vient tout juste de débuter. Il y aura sans doute des changements visibles dans la newsletter dans les mois à venir. Dites moi le moment venu ce que vous en pensez, je compte sur vous pour m’aider à faire grandir encore un peu plus Pwned. Au fait, si vous venez de découvrir la newsletter, vous pouvez aussi commencer par vous inscrire:
Sans plus attendre, on commence avec l’épisode de ce soir, une drôle histoire d’oiseau bleu et d’adolescents décomplexés.
Wow ! Ce 15 juillet 2020, il y a quelque chose qui ne tourne pas rond sur Twitter - vous savez l’ancien nom de “X”. Le milliardaire Elon Musk, pas encore l’homme le plus détesté du réseau social, mais pas loin, vient de diffuser un drôle de tweet.
“Je me sens généreux à cause du Covid-19”, déclare (en anglais) le patron de Tesla, de SpaceX et aujourd’hui de X. Et d’annoncer qu’il renverra le double de toute transaction en bitcoin envoyée dans l’heure sur son portefeuille crypto.
Certes, la presse aimait bien présenter Elon Musk comme une personnalité fantasque, avant de se rendre compte que ce qualificatif n’était vraiment pas le plus approprié. Mais voir Elon Musk distribuer à la ronde des liasses de billets, c’est très louche.
C’est même carrément suspect au vu de la méthode employée : il faut d’abord envoyer des cryptos pour en recevoir. Outre Elon Musk, Bill Gates, Jeff Bezos, Barack Obama, Mike Bloomberg, Kanye West et des multinationales comme Uber ou Apple diffusent presque au même moment le même genre de message, avec quelques variantes. Et tous renvoient vers la même adresse bitcoin : bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh.
Certains des messages mentionnent également un site douteux, cryptoforhealth. Sur cette page, on apprend qu’un certain nombre de firmes crypto de premier plan, telles Binance ou Coinbase, auraient décidé de lancer une œuvre de bienfaisance dotée de 5000 bitcoins. Là aussi, la personne qui envoie jusqu’à 20 bitcoins à l’adresse mentionnée recevra en retour le double.
A ce stade, il y a deux conclusions. Soit tous les grands (au vu de l’épaisseur de leur portefeuille) de ce monde ont décidé d’un seul coup de prouver leur générosité.
Soit, et ça semble plus réaliste, quelqu’un a réussi à pirater Twitter. Ce qui en ferait “l’une des attaques en ligne les plus effrontées vues depuis longtemps”, souligne le New-York Times.
On va évidemment s’attarder sur cette deuxième possibilité qui fait alors très froid dans le dos. Car le nombre de comptes compromis sur le réseau social, et leur qualité - ces célébrités devaient déjà être sur leurs gardes au vu de leur notoriété - montre que l’attaquant a une méthode très efficace.
Le corollaire, c’est que l’oiseau bleu a un sérieux problème de sécurité, ce qui n’est pas acceptable au vu de son importance. Comme le rappelle USA Today, Twitter n’est pas le réseau social le plus populaire. Mais c’est celui dont le mégaphone est le plus puissant. Que se serait-il passé si le compte de Donald Trump (alors le président en exercice) avait été piraté ou si une puissance étrangère avait tenté de profiter de la faille la veille de l’élection?
A quelques mois de l’élection américaine, ce problème de sécurité de Twitter dépasse largement le périmètre de l’entreprise. Elle doit donc réagir très vite pour ne pas perdre totalement la confiance du public.
Pourtant, comme le racontera plus tard Wired, le réseau social est à l'époque assez démuni pour stopper la catastrophe. La seule option trouvée, la moins mauvaise, consiste à empêcher les comptes “vérifiés” - ceux dont l’identité a déjà été contrôlée par le réseau social - de tweeter, avec des restrictions supplémentaires pour tous les comptes ayant changé leur mot de passe les semaines précédentes.
Puis le lendemain, le 16 juillet, le réseau social livre ses premières conclusions. L’entreprise, explique-t-elle, a été victime d’une attaque par ingénierie sociale qui visait des employés. En d'autres termes, quelqu'un a volé les identifiants d'accès appartenant à un ou des employés de la société.
Comme les pirates sont passés par un accès compromis, il faut désactiver successivement tous les accès VPN (réseau privé virtuel), cette façon de créer un tunnel sécurisé entre vous et le serveur. Les employés, du dernier CDD au grand patron, doivent réinitialiser leur accès en montrant de visu patte blanche et en changeant, devant leur supérieur, de mot de passe. Une façon de confirmer qu’on est bien celui qu’on prétend être.
On commence aussi à en savoir plus sur les dégâts. Les attaquants, au pluriel, ont réussi à prendre le contrôle de 130 comptes environ. Quarante-cinq d’entre eux ont servi à publier les fameux tweets douteux. Dans d’autres cas, les intrus ont fouiné dans la boîte des messages privés. Enfin, ils ont également téléchargé l’archive utilisateur, soit toute l’activité sur le réseau social, de huit comptes.
Mais si l’arnaque aux dons crypto a été vue par un grand nombre d'utilisateurs, le butin des attaquants est finalement assez maigre. Le portefeuille crypto utilisé par les attaquants a reçu en quelques heures environ 13 bitcoins, soit à l’époque environ 120 000 dollars. Cela dit, ça aurait pu être pire. La plateforme d’échange crypto Coinbase a ainsi bloqué l’envoi d’environ 280 000 dollars vers l’adresse suspecte.
Pourtant, il y avait d’autres manières plus lucratives de profiter de la vulnérabilité exploitée. Pourquoi par exemple ne pas avoir tenté de faire varier le cours de bourse d’une entreprise pour empocher un gros gain? Sans doute parce que ce genre d’arnaque n’était pas à la portée des attaquants, qui se sont rabattus sur un scam bas de gamme mais efficace. Ce qui en dit long sur eux.
On ne va d’ailleurs pas rester longtemps dans le flou. Le spécialiste de la cybercriminalité Brian Krebs s’étonne ainsi d’une drôle de coïncidence. Dans les jours qui ont précédé les piratages, un internaute s’est vanté sur le sulfureux forum OGUsers d’avoir des accès privilégiés à Twitter.
Officiellement, ce forum - OG renvoie au terme d'argot américain “Original Gangster" - est dédié à l’échange d’identifiants de comptes originaux ou rares. Comme par exemple un identifiant de compte très court. C’est aussi vieux que le web : si vous n’êtes pas dans les premiers arrivés sur une communauté ou un réseau social, l’identifiant correspondant à votre prénom et nom, ou à votre pseudo, sera assorti d’une série de chiffres disgracieux.
Par contre, si vous êtes dans les premiers utilisateurs, vous pouvez vous réserver un compte avec simplement votre prénom - n’est-ce pas, Jack Dorsey? Voir, encore plus cool, de faire de vos initiales votre identifiant. Une façon de suggérer que vous êtes chez vous sur ce réseau social.
Ce genre de commerce un peu particulier n’aurait rien de problématique s’il ne s’agissait en fait de vendre des comptes piratés.
On en reparle la semaine prochaine,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Si vous voulez me payer un café, vous savez ce qu’il faut faire (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
Elon Musk à l’Elysée : peut-on encore recevoir le patron de Twitter comme n’importe quel patron ?
A Brazen Online Attack Targets V.I.P. Twitter Users in a Bitcoin Scam
'Tweet-tastrophe'? It could have been. Twitter hack reveals national security threat before election
How Twitter Survived Its Biggest Hack—and Plans to Stop the Next One
Thread Twitter, 16 juillet 2020
The Twitter Hack: What We Know One Week Later
Twitter hack: The facts, theories and fallout of the Bitcoin heist
Who’s Behind Wednesday’s Epic Twitter Hack?
Extorsion, piratage et combines… « OGUsers », le sulfureux marché noir des réseaux sociaux
Merci