Celui qui voulait pirater Twitter (2/4)
Après le hack des comptes de Twitter de célébrités, des journalistes font le lien avec un douteux business de vente de comptes sur un forum, OGUsers.
Bonsoir !
Bienvenue à tous pour la suite de cet épisode sur le piratage de Twitter. Avant de reprendre le fil de notre histoire, si ce n’est pas encore le cas, voici le lien pour vous inscrire.
Où en était-on? Ah oui, le journaliste spécialisé Brian Krebs a repéré la vente sur OGUsers d’accès privilégiés à des comptes d’utilisateurs. L’annonce a été publiée quelques jours avant le piratage. “Chaewon” assure alors pouvoir modifier l’email rattaché à n’importe quel compte du réseau social pour 250 dollars.
C’est une bonne piste dans cette enquête. Parce que si vous pouvez changer l’adresse de messagerie d’un compte Twitter, vous pouvez ensuite facilement réinitialiser le mot de passe. Et donc ainsi prendre la main sur le compte. D’ailleurs, ce même Chaewon vend aussi l’accès complet à un compte entre 2500 et 3000 dollars.
Cela interpelle le journaliste Brian Krebs. Ce dernier remarque qu’effectivement, plusieurs comptes twitter ont été piratés avant le lancement de l’arnaque crypto. Il s’agit précisément de comptes rares, comme @6, le compte du hacker Adrian Lamo (on reparlera de lui dans Pwned), ou @b, un compte désormais suspendu.
Autre particularité de l'annonce, des screenshots montrent certains comptes vus depuis l'interface de gestion interne de Twitter. Cela signifie que Chaewon disposerait d'un moyen d'accéder aux outils d'administration du réseau social.
Un internaute semble très intéressé par ces piratages. @shinji, ainsi qu’il s’appelle, a lui aussi posté des photos de l’interface interne de Twitter. Il a également suggéré de suivre le compte @6, comme s’il était au courant du piratage qui allait suivre.
Cet utilisateur de Twitter a tout justement du parfait suspect. Parce que quelques recherches en sources ouvertes permettent de détailler un pedigree criminel très marqué. En faisant le lien avec ses comptes Instagram, on retrouve son pseudonyme le plus connu, PlugWalkJoe. Et rapidement Brian Krebs retrouve son nom: il s'agit de Joseph James O’Connor, un jeune anglais de 21 ans vivant en Espagne, connu sur la toile pour être un spécialiste du “sim swapping”.
Arrêtons nous quelques minutes sur le sim swapping. C’est de l’ingénierie sociale, il s’agit ici de prendre le contrôle d’un numéro de téléphone portable en prétextant, auprès de l’opérateur de téléphonie, avoir un problème avec sa carte SIM. Comme sa perte, un vol ou encore un souci technique.
On l’a vu en fin de saison dernière avec le piratage des messageries mobiles, les opérateurs de télécoms peuvent être facilement bernés. Il suffit d’avoir suffisamment d’informations personnelles sur sa cible, comme sa date de naissance, son numéro client, etc. Une fois que le pirate a gagné la confiance du service client, il demande d’activer le numéro sur une nouvelle carte SIM en sa possession. Cette technique avait déjà permis, un an plus tôt, de publier des tweets frauduleux sur le compte de Jack Dorsey, le fondateur de Twitter.
C’est une piste intéressante. Mais ce n’est pas la seule dans cette enquête criminelle dont le rythme effréné colle parfaitement à l'esprit du réseau social. Le lendemain, le New-York Times explique en effet avoir eu accès à des messages échangés sur l'application de messagerie Discord entre plusieurs personnes affirmant être à l'origine des piratages.
Un internaute dénommé “Kirk” assure ainsi avoir eu accès à des comptes de personnalités de premier plan sur Twitter. “Yoo bro”, “ne montrez ceci à personne”, écrit-il en partageant une capture d’écran montrant là aussi l'accès à l'interface interne du réseau social. “Je travaille pour Twitter”, ajoute-t-il pour donner encore plus de poids à ses révélations.
Le spectaculaire piratage ne serait donc pas l'œuvre d’un groupe de hackers malintentionnés mais celle d’un "insider", un employé malveillant désireux de semer le bazar dans son entreprise? Ce qui rappellerait, note Vice, l’importance de la question du contrôle interne dans des firmes parfois trop olé olé dans leurs procédures.
La thèse de l’employé malveillant est cependant rapidement écartée. On voit bien que Kirk n’est pas un salarié de Twitter et ses interlocuteurs sur Discord n'y croient pas vraiment. Ceci dit, son implication dans les piratages semble avérée. La preuve : c’est lui qui contrôle l’adresse crypto sur laquelle ont atterri les fonds de l’arnaque.
Mais il n’est pas seul. Autour de lui gravitent en effet plusieurs internautes: “lol”, “ever so anxious” et... “PlugWalkJoe”, dont on a déjà parlé. Une partie de la bande a d’ailleurs dû mal à dormir depuis les piratages du 15 juillet. Ainsi, si “lol” et “ever so anxious” racontent leur version de l’histoire au quotidien new-yorkais, c’est d’abord pour expliquer qu’ils n’ont pas fait grand chose.
Ces habitués du forum OGUsers auraient simplement voulu faciliter les ventes frauduleuses des comptes Twitter piratés par "Kirk", nouveau venu dans cette communauté. Avant de couper les ponts avec Kirk, réalisant qu’ils se sont mis dans de sales draps. Une shit storm, comme aiment à dire les anglo-saxons, qu’il est urgent de fuir.
Quant à Joseph O’Connor, connu sous le nom de PlugWalkJoe, les échanges sur Discord suggèrent qu’il a seulement acheté le compte Twitter @6, celui d’Adrian Lamo. Après avoir plastronné auprès de la presse - “ils peuvent venir m’arrêter, je n’ai rien fait” - O’Connor précise au Times que Kirk aurait réussi à prendre le contrôle de l’interface interne du réseau social après avoir accédé à la messagerie Slack de l’entreprise.
Ce serait donc lui le cerveau de ce piratage retentissant. Mais comment la petite bande aurait-elle procédé? Eh bien, on va le découvrir très vite, avec de nouvelles explications qui vont être distillées par Twitter au fil de l’eau. Je résume la version finale : le réseau social a en fait été victime d’une attaque par hameçonnage très ciblé, une manœuvre d’ingénierie sociale qui a principalement reposé sur de simples coups de téléphone.
Les attaquants ont ainsi d’abord fouiné sur Linkedin pour identifier des employés de Twitter. Ils ont même profité des fonctionnalités du réseau social professionnel pour récupérer des numéros de portable, comme s’ils étaient des recruteurs en chasse. Les pirates ont alors téléphoné à des salariés en se présentant comme des informaticiens du service IT, soit disant pour résoudre des problèmes sur le réseau privé virtuel (VPN).
Vous imaginez la discussion? “Hé John, c’est Patrick, du service IT. Heu, tu pourras pas te logger sur ton accès VPN, on doit résoudre un bug là. Tiens, je te donne l’adresse pour le test, tu vas t’identifier sur cette page.” Il s’agit, vous l’avez compris, d’une page de phishing imitant l’accès interne. Pendant que leurs victimes se loggent, les pirates utilisent les identifiants pour accéder au véritable VPN de la société. Ce qui déclenche la procédure de double authentification… que les victimes associent naturellement à leur propre tentative de connexion.
C’est assez malin : à cette époque, on est encore en plein dans la pandémie du Covid-19 et effectivement, pas mal d’entreprises galèrent à mettre en place le travail à distance. Cependant, tout ne réussit pas aux pirates. Les premiers employés de Twitter ciblés n’avaient pas accès à l’interface interne. Mais le vol de ces premiers accès leur permet de viser ensuite d’autres employés, qui eux avaient ces droits.
C’est comme cela qu’ils ont pu ensuite prendre le contrôle de comptes de célébrités et lancer leur arnaque le 15 juillet 2020. Mais comme on va le voir, ils ne vont pas en profiter longtemps.
On en reparle la semaine prochaine,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Si vous voulez me payer un café, vous savez ce qu’il faut faire (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
Who’s Behind Wednesday’s Epic Twitter Hack?
Ceux qui écoutaient les répondeurs des messageries mobiles (1/3)
Qu’est-ce que le « SIM swapping », qui a permis de pirater le compte du patron de Twitter ?
Hackers Tell the Story of the Twitter Attack From the Inside
Hackers Convinced Twitter Employee to Help Them Hijack Accounts
An update on our security incident
I was a teenage Twitter hacker. Graham Ivan Clark gets 3-year sentence