Comment Twitter a été victime du plus important piratage de son histoire

Des comptes certifiés de personnalités comme Barack Obama, Bill Gates, Jeff Bezos, Elon Musk mais aussi de multinationales comme Apple ou Uber ont été piratés dans la nuit de mercredi à jeudi.

« C’est un jour difficile pour nous ». Le message posté ce jeudi par Jack Dorsey, le patron de Twitter, résume très bien la situation. Dans la nuit de mercredi à jeudi, le réseau social Twitter a été victime d’un des plus gros piratages de son histoire. Des comptes de personnalités comme Barack Obama, Bill Gates, Jeff Bezos, Elon Musk mais aussi de multinationales comme Apple ou Uber ont été piratés. « Joyeux mercredi ! J’offre des bitcoins à tous mes abonnés. Je double tous les paiements envoyés à l’adresse bitcoin ci-dessous », ont notamment pu lire les internautes sur le compte d’ Elon Musk, le fantasque patron de Tesla.

« Les hackers ont réussi à prendre le contrôle de ces comptes en publiant un message incitant les millions de followers à envoyer des bitcoins à un compte, avec la promesse d’en recevoir en retour le double », explique à 20 Minutes Gérôme Billois, expert en cybersécurité pour Wavestone.

« C’est l’appât du gain qui a motivé les cybercriminels. Les conséquences auraient pu être bien plus graves si les hackers avaient eu des visées politiques », ajoute l’expert en cybersécurité. Le piratage massif de Twitter pose donc aujourd’hui la question de la sécurité du réseau social et plus largement de toutes les plateformes, à l’approche des élections présidentielles américaines.
Une attaque « classique » mais « inédite » par son ampleur

« C’est une arnaque très classique qui circule sur Twitter depuis longtemps mais qui en général est réalisée de manière « unitaire ». Là ce qui est particulièrement impressionnant, c’est la multiplicité des comptes très visibles et très suivis qui ont été touchés simultanément », explique Gérôme Billois. A cette échelle, cette attaque est une grande première. « C’est probablement l’un des plus grands piratages de l’histoire de Twitter, qui a par ailleurs spécifiquement touché des comptes certifiés [badge bleu permettant d’assurer aux utilisateurs l’authenticité d’un compte] », précise l’expert en cybersécurité.

Selon les premiers éléments des investigations lancées par Twitter, un ou plusieurs employés en charge du support auraient été piratés informatiquement par une attaque de social engineering (ingénierie sociale), qui aurait permis au hacker d’avoir accès aux outils internes de Twitter. « Cela ne découle pas d’une défaillance technique. On a visé un ou des employés de Twitter afin d’être sûrs de tomber sur les accès opérationnels gérant des comptes certifiés, donc à forte notoriété, afin d’amplifier la communication autour de l’arnaque, plutôt classique par ailleurs », explique de son côté Loïc Guezo, directeur de la stratégie cybersécurité chez ProofPoint.

Quelles conséquences ?

Financièrement, l’arnaque semble de faible envergure. Selon le site spécialisé Blockchain.com, qui suit les transactions effectuées en cryptomonnaies, un total de 12,58 bitcoins, soit près de 116.000 dollars, a été envoyé vers l’une des adresses mentionnées dans les tweets frauduleux. C’est d’ailleurs ce qui a permis à Twitter de limiter la casse : les cybercriminels n’ont cherché qu’un gain rapide, en plus de frapper les esprits par le caractère particulièrement spectaculaire de l’opération.

« Quoi qu’il en soit, il va forcément y avoir des conséquences politiques sur le degré de confiance accordé à Twitter, à quelques semaines des élections américaines, surtout quand on sait qu’il s’agit du réseau social préféré du président américain », explique Gérôme Billois. L’usurpation de comptes certifiés de premier plan, et la capacité de tweeter à des moments précis, posent en effet la question de l’importance des plateformes sociales en période électorale. « Twitter va donc devoir, dans les prochains mois, faire preuve de beaucoup de transparence et « montrer patte blanche » en corrigeant ces failles », avertissent la plupart des experts en cybersécurité.

Peut-il y avoir d’autres piratages ?

« La faille utilisée pour avoir accès au compte interne de Twitter n’a pour l’instant pas pu être colmatée. Il va falloir au moins quelques jours à Twitter pour la corriger en profondeur et bloquer certains accès », explique Gérôme Billois, qui reconnaît toutefois qu'« il y a très peu de chances qu’il y ait une résurgence de l’attaque dans les prochains jours, notamment en raison des mesures temporaires de sécurité mises en place par la plateforme ».

La bonne nouvelle, c’est que Twitter a été très réactif. « Ils ont visiblement d’importantes capacités d’investigation. Ils ont joué la carte de la transparence, en communiquant régulièrement », note le Club de sécurité de l’information français (Clusif). « Il semble que le réseau social ait pris des mesures pour empêcher que de tels incidents ne se reproduisent à l’avenir, en rendant moins accessibles des outils tels que celui qui a vraisemblablement été utilisé dans cette attaque », explique également Lotem Finkelstein, en charge de la cybersécurité à Check Point, fournisseur de services de sécurité pour les systèmes d’information.

Comment se protéger ?

Beaucoup de règles simples permettent en général d’éviter les piratages des comptes personnels : éviter de cliquer sur les pièces jointes qui peuvent sembler suspectes dans un mail, ne pas donner ses identifiants même lorsqu’un mail provenant du service utilisé le demande ou utiliser un système de double authentification. « Nous suggérons à tous les utilisateurs de procéder à des vérifications et à un filtrage préalable autant que possible. Il faut faire plus de recherches sur le compte avant de remettre de l’argent, car il ne s’agit pas de "c’est trop beau et probablement vrai", mais de "ne pas être trop impulsif en cliquant" », explique Benoît Grunemwald, expert en cybersécurité chez Eset.

Quoi qu’il en soit, cette affaire rappelle que « derrière les machines il y a des humains, qui peuvent avoir accès à nos messages privés et aux informations que l’on y dépose. Il faut toujours prendre avec des pincettes tout ce qui est posté sur les réseaux sociaux », souligne Gérôme Billois. « Ces systèmes ne sont pas clos, tout ce qu’on y échange peut être accessible. C’est un peu la partie immergée de l’iceberg ».