Vendredi 30 aout, vers 22 heures (heure française), le compte de Jack Dorsey, cofondateur et actuel PDG de Twitter a été brièvement piraté. Si l’enquête du réseau social n’a montré aucune faille dans son système de sécurité, la vigilance s’impose.
Une situation bien pénible que celle de Twitter. Le compte @jack, compte du PDG du site de microblogging, et accessoirement premier compte Twitter jamais créé, a encore été la cible d’un groupe hackers qui se nomment lui-même Chuckling Squad. À titre de rappel, ce groupe avait déjà mené plusieurs opérations de ce genre sur plusieurs personnalités, dont la récente date de celle de la police de Londres en juillet dernier.
En l’espace de 15 minutes, le compte @jack a posté des tweets plus qu’embarrassants et racistes, et dûment porteurs des hashtags ♯chucklingsquad et ♯chucklinghella. Si l’incident a été réparé tout aussi vite, les spams n’ont pas échappé aux millions d’abonnés de Jack Dorsey et remettent en cause la fiabilité de la sécurité de Twitter.
LE SYSTÈME DE SÉCURITÉ DE TWITTER N’EST PAS À BLAMER
Suite à cet incident, Twitter a évidemment mené l’enquête. Selon ses dires, rien n’indique que le système de sécurité du réseau social n’en est pas à l’origine. En effet, la mésaventure serait dû à une faille des services des opérateurs mobiles. Les recherches judiciaires ont montré que les hackers ont profité du service attenant à Twitter, Cloudhopper, qui permettait de poster des tweets en envoyant des SMS à un numéro abrégé.
LA TECHNIQUE DU SIM SWAP UTILISÉE
Pour arriver à de tels résultats, Chuckling Squad a utilisé une technique relativement simple mais très dangereuse. Le SIM Swap, ou transfert de SIM, permettant à un tiers de procéder au transfert d’un numéro en particulier. Ce vol virtuel consiste à se faire passer pour son propriétaire sous un prétexte frauduleux (vol ou autre) et ainsi récupérer l’usage de son numéro de téléphone. De nos jours, beaucoup de numéros de mobile sont associés à des comptes sur les réseaux sociaux. En l’obtenant, les hackers peuvent publier des tweets via Cloudhopper comme c’est le cas ici. Ils peuvent même demander un nouveau mot de passe pour le compte. Selon les dires de Twitter, à cause de faille au niveau de sa sécurité, l’opérateur mobile aurait négligemment exposé les données de ses abonnés, permettant ainsi ce piratage.
UN TWITTER PLUS SUR ?
La firme semble optimiste et affirme que le problème a été réglé. Pour preuve, les tweets ont été effacés un quart d’heure après leur publication. D’ailleurs, les utilisateurs du site de microblogging ont été exhortés à recourir à des moyens de sécurisation pour ce genre de compte, dont la très célèbre authentification à double facteur. Mais le doute plane encore. Selon certains spécialistes de la cybersécurité, aucune mesure intelligente n’a été prise par les opérateurs afin de différencier les transferts de SIM légitimes des illicites. À l’heure où des milliers de personnes associent leurs comptes sociaux à un numéro de téléphone, ces mesures semblent être indispensables.
