On dit souvent que les cordonniers sont les plus mal chaussés. Il semblerait que Jack Dorsey, le CEO de Twitter, n’échappe pas à cette règle. Comme l’a remarqué The Verge, il s’est fait pirater son propre compte Twitter ce vendredi 30 août.
Plusieurs messages suspects et retweets ont été effectués sur son compte, à quelques minutes d’intervalle. Le compte dédié à la communication du réseau social a ensuite twitté : « nous sommes au courant que le compte de @Jack a été compromis et nous enquêtons sur ce qui a pu arriver. »
We're aware that @jack was compromised and investigating what happened.
— Twitter Comms (@TwitterComms) August 30, 2019
Parmi les tweets, il y avait des insultes racistes, antisémites et un message négationniste sur l’Holocauste. Une menace d’attentat à la bombe a également été partagée. Ils sont restés pour certains 10 minutes en ligne et sont désormais tous supprimés.
so @jack was hacked pic.twitter.com/BfOsaKleZp
— Talia Lavin (@chick_in_kiev) August 30, 2019
Les messages ont été signés par des personnes qui disent être du Chuckling squad. Ce groupe est connu pour s’en être pris à plusieurs youtubeurs et comédiens la semaine passée. James Charles, Shane Dawson ou encore le comédien King Bach avaient été touchés. Dans le Discord du groupe — depuis supprimé –, des captures d’écran de comptes Gmail compromis avaient également été publiées. Les victimes pensent que c’est un problème survenu après un changement de carte SIM chez le fournisseur AT&T qui a permis ces piratages.
Un piratage par SMS
Comme l’ont remarqué des internautes, les messages du compte de Jack Dorsey ont été publiés depuis une plateforme appelée Cloudhopper. C’est une société que Twitter avait rachetée pour l’aider à développer son service d’envois de tweets par SMS. Il suffisait d’envoyer des messages à un numéro donné pour publier des tweets. Aux débuts de la plateforme, c’était d’ailleurs ainsi que l’on partageait des contenus sur Twitter.
.@Jack’s account has been hacked.
— Sam (@Hooray) August 30, 2019
The Tweets are coming from a source called Cloudhopper. Cloudhopper was the name of the company Twitter acquired a long time ago to help bolster their SMS service.
Looks like the hackers are Tweeting via the old SMS service… pic.twitter.com/YcU3DTn9wS
Cette hypothèse a été confirmée par les services de communication de Twitter. « Le compte est maintenant sécurisé, ont-ils dit. Le numéro de téléphone associé au compte a été compromis à cause d’une faille de sécurité du fournisseur mobile. » Ils expliquent qu’elle permettait à n’importe qui d’écrire et d’envoyer des tweets sous forme de SMS, depuis le numéro de téléphone.
Selon Twitter, il n’y aurait aucune raison de croire que d’autres failles aient pu être exploitées ou que d’autres comptes aient été piratés le même jour. La faille a depuis été résolue et on ignore si elle avait un lien avec AT&T. La marque a reconnu un problème de sécurité quant au piratage des comptes des vidéastes mais elle n’a pas encore réagi à ce piratage.
Le compte de Jack Dorsey est une cible privilégiée par les hackers. En 2016, il avait déjà été piraté par une entreprise spécialisée dans la cybersécurité, OurMine. Un tweet indiquant qu’il s’agissait d’un test de sécurité avait alors été publié, avec une vidéo et un lien vers le site d’OurMine. L’entreprise avait aussi hacké d’autres CEO comm Mark Zuckerberg, de Facebook ou Sundar Pichai, de Google.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !