Véritable saga de l’été, l’affaire des comptes Twitter piratés — une escroquerie de grande ampleur qui visait à extorquer des bitcoins par l’intermédiaire de comptes Twitter vérifiés — n’a pas encore connu son dernier rebondissement.
Jusqu’ici, le scénario le plus probable s’axait sur la complicité d’employés de Twitter, qui aurait été obtenue grâce à des techniques d’ingénierie sociale. Autrement dit, des employés se seraient fait manipuler et auraient donné aux escrocs un accès direct ou indirect aux comptes touchés.
Twitter a hier confirmé ce scénario, mais surtout apporté des précisions sur son déroulement. Plutôt que de jeter leur filet au hasard en espérant attraper un poisson juteux, les pirates auraient utilisé une technique de harponnage, variante du phishing ciblant seulement quelques utilisateurs soigneusement sélectionnés.
La société à l’oiseau bleu a ajouté que deux conditions devaient être remplies pour que le piratage fonctionne : que les escrocs aient accès au réseau interne de Twitter, mais aussi à des autorisations spéciales donnant accès à des outils de support. Aussi, cibler le premier employé venu n’aurait pas nécessairement porté ses fruits. Les pirates ont donc dû se montrer plus malins que les mesures de sécurité de Twitter : puisque les employés initialement harponnés n’avaient pas accès aux bons outils, les pirates auraient utilisé leurs autorisations pour s’infiltrer dans le système et se renseigner sur le fonctionnement interne du réseau social.
Munis de ces informations, ils auraient alors visé d’autres employés qui, eux, avaient bel et bien accès aux outils de support et donc aux comptes en question. Cette escroquerie quasi hollywoodienne aura touché un total de 130 comptes Twitter et rapporté aux pirates la somme finalement assez faible de 120 000 dollars (même avec les bons harpons, la pêche n’est pas toujours miraculeuse). Hier, Twitter s’engageait de nouveau à profondément revoir ses mesures internes de sécurité. Comme d’habitude, il faudra sans doute commencer par l’élément qui se trouve entre la chaise et le clavier.
Mise à jour — L'enquête s'accélère. La police a arrêté un adolescent américain basé en Floride qui serait le « cerveau » de toute cette opération rocambolesque.
