Piratage massif de Twitter : 20 % des employés auraient pu être à l'origine de la faille
Twitter distribue-t-il trop de pouvoir ?
Dans la nuit du 15 au 16 juillet, un ou plusieurs individus ont mis la main sur 45 comptes Twitter, dont ceux de Kanye West, Elon Musk ou encore Joe Biden. Ils s'en sont servi pour lancer une arnaque au bitcoin, qui leur a permis de récolter plus de 120 000$ en à peine deux heures, malgré la réactivité des plateformes de cryptomonnaies.
D'après Twitter, le ou les pirates ont récupéré l'accès à des outils internes grâce à une opération de phishing ciblé. Si les enquêteurs n'ont pas encore donné leurs conclusions sur le déroulé exact de l'incident, des captures d'écran de l'outil de modération utilisé circulaient dès le soir de l'événement. Twitter les a supprimés pour violation de ses conditions d'utilisation, et a banni temporairement les comptes qui les publiaient.
Parmi les nombreuses fonctionnalités de l'outil se trouvait la possibilité de changer l'adresse email liée à un compte. Les pirates n'avaient plus qu'à lier le compte de Bill Gates ou Jeff Bezos à une adresse en leur possession, puis à réinitialiser le mot de passe. Bingo ! Ils pouvaient tweeter leur arnaque.
Une opportunité en or pour les lanceurs de phishing
En septembre 2019, Twitter annonçait dans un document officiel qu'il comptait plus de 4 600 employés. Si les informations de Reuters sont confirmées -- Twitter n'ayant pas réagi pour l'instant -- alors plus d'1 employé sur 5 aurait pu être à l'origine du piratage.
Pour Rachel Tobac, CEO de SocialProof Sec, cet accès généralisé facilite la tâche des pirates : « En tant que hacker embauchée pour faire de l'ingénierie sociale [pirater sans outils techniques, ndlr] dans des organisations, ce serait une surface d'attaque rêvée. Cela signifie que si j'obtiens un accès à des identifiants d'une cible chez Twitter durant une campagne de phishing ciblé par exemple, j'aurais 1 chance sur 5 qu'il me mène vers un accès de niveau administrateur. »
Et ce n'est pas tout, Reuters indique que des sous-traitants disposent aussi de ce haut niveau d'autorisation. Ce serait notamment le cas d'employés de Cognizant, une société de conseil spécialisée en informatique.
Twitter va devoir grandement s'améliorer avant l'élection présidentielle
Malgré la communication abondante de Twitter sur son piratage, de nombreuses questions restent en suspens. Par exemple, des experts s'étonnent qu'à aucun moment, le pirate n'ait eu besoin de la validation d'un second compte de modérateur pour changer à la chaîne des identifiants sensibles sur des comptes aussi suivis. Ou encore, ils s'étonnent qu'aucun système d'alerte n'ait permis à Twitter d'identifier plus rapidement l'outil interne compromis.
À la suite de précédents problèmes -- deux anciens employés sont accusés d'espionnage pour le compte de l'Arabie Saoudite --, Twitter a déjà mis en place des enregistrements réguliers de l'activité (ou logs) de ses modérateurs, afin d'alimenter ses enquêtes internes. Les logs ont une utilité a posteriori, puisqu'ils permettent de tracer un historique des actions, mais ils n'offrent pas de défense proactive.
Si l'état de la sécurité de Twitter est aussi catastrophique que Reuters le souligne, le réseau social va devoir opérer d'importants changements en amont de l'élection présidentielle américaine. Elle se tiendra le 3 novembre 2020, et le spectre de l'ingérence russe (et ses nombreux hackers) plane déjà. Le compte du candidat démocrate Joe Biden a été compromis sans conséquence cette fois, mais un nouveau piratage pourrait s'avérer dangereux, d'autant plus que son opposant Donald Trump a un usage intensif de Twitter. Au réseau social de prouver qu'il saura protéger les comptes essentiels au bon déroulement de l'élection : que ce soit les comptes de médias, ceux liés aux candidats candidat, ou encore les comptes d'institutions.