Voilà une bonne raison d’activer la double authentification sur ses comptes en ligne, lorsque cette protection est proposée. Surtout lorsque l’on gère un compte officiel qui est susceptible d’émettre des messages d’alerte. C’est l’enseignement qui peut en effet être tiré de la mésaventure qui est arrivée à Bob Buckhorn, le maire de Tampa, une ville située sur la côte Ouest de la Floride.
L’histoire a été racontée le 25 février par Naked Security, un blog de la société de sécurité informatique Sophos.
National Nuclear Security Administration / Nevada Site Office
Alerte de missile balistique
Alors que les habitants de la ville seront invités à s’exprimer dans les urnes le 5 mars prochain pour choisir leur nouveau maire, le compte Twitter de l’actuel a été piraté. Parmi les messages racistes, sexistes, sexuels et même pédopornographiques, l’un d’eux a plus particulièrement retenu l’attention, puisqu’il a mis en scène un tir d’un missile balistique contre le territoire américain.
« Alerte d’urgence. Menace balistique en direction de la baie de Tampa. Cherchez un abri immédiat. Ce n’est pas un exercice », pouvait-on lire dans le tweet, écrit comme il se doit exclusivement en majuscule, pour souligner le plus possible la gravité de la situation.
Le tweet. Notez la faute qui pouvait mettre la puce à l'oreille.
Du fait de la nature du message et de celui qui l’a prétendument émis, une inquiétude légitime a parcouru une partie des personnes suivant le profil du maire sur Twitter. La mairie a toutefois rapidement démenti l’existence d’une attaque, expliquant qu’en fait le compte de Bob Buckhorn a été détourné. Dans la foulée, il a été annoncé l’ouverture d’une enquête et le signalement aux autorités.
Il aura en revanche fallu cinq heures à la mairie pour parvenir à reprendre le contrôle du compte Twitter, avec l’aide justement du réseau social. S’en est suivi alors un méticuleux travail de nettoyage du fil d’actualité, afin de retirer tous les messages illégitimes. Seules quelques captures d’écran permettent aujourd’hui d’en retrouver la trace. On imagine en outre que les mots de passe ont été actualisés.
Double authentification
L’histoire ne dit malheureusement pas comment le compte a été détourné : l’assaillant a-t-il profité d’une vulnérabilité non documentée sur Twitter ou bien a-t-il visé directement le maire, en le visant à travers une opération de hameçonnage pour lui piquer ses moyens de connexion (identifiant et mot de passe) ? Ou peut-être a-t-il procédé encore d’une autre façon ?
En général, la seconde méthode est la plus aisée, car l’internaute est souvent un excellent point de défaillance en sécurité informatique. Au contraire, un piratage informatique contre une entreprise est une manœuvre bien plus difficile. En outre, ce type d’action ne vise pas à faire une « farce » sur Twitter via la publication de contenus litigieux, mais à récupérer le plus discrètement possible des données ou à faire des dégâts.
D’où l’intérêt de la double authentification : même si votre mot de passe est découvert, il y a un second code qui est demandé lors de la connexion. Et ce second code est délivré sur le smartphone, lorsque celui-ci a été préalablement rattaché au compte à protéger. Dans cette configuration, le pirate ne peut pas connaître ce second code, ce qui permet ainsi de relever très significativement le niveau de protection.
Aujourd’hui, les sites sont de plus en plus nombreux à proposer la double authentification.
Cette fausse alerte au tir de missile balistique n’est pas la première du genre. Il y a un peu plus d’un an, deux autres messages ont été envoyés par erreur — mais pas via Twitter cette fois. Il y a eu un premier incident à Hawaï, avec une notification trompeuse sur une attaque balistique visant l’île. Quelques jours plus tard, c’est au Japon qu’une mise en garde à la population a été envoyée sans raison.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
