On dit souvent que les cordonniers sont les plus mal chaussés. Il semblerait que Jack Dorsey, le CEO de Twitter, n’échappe pas à cette règle. Comme l’a remarqué The Verge, il s’est fait pirater son propre compte Twitter ce vendredi 30 août.
Plusieurs messages suspects et retweets ont été effectués sur son compte, à quelques minutes d’intervalle. Le compte dédié à la communication du réseau social a ensuite twitté : « nous sommes au courant que le compte de @Jack a été compromis et nous enquêtons sur ce qui a pu arriver. »
Parmi les tweets, il y avait des insultes racistes, antisémites et un message négationniste sur l’Holocauste. Une menace d’attentat à la bombe a également été partagée. Ils sont restés pour certains 10 minutes en ligne et sont désormais tous supprimés.
Les messages ont été signés par des personnes qui disent être du Chuckling squad. Ce groupe est connu pour s’en être pris à plusieurs youtubeurs et comédiens la semaine passée. James Charles, Shane Dawson ou encore le comédien King Bach avaient été touchés. Dans le Discord du groupe — depuis supprimé –, des captures d’écran de comptes Gmail compromis avaient également été publiées. Les victimes pensent que c’est un problème survenu après un changement de carte SIM chez le fournisseur AT&T qui a permis ces piratages.
Un piratage par SMS
Comme l’ont remarqué des internautes, les messages du compte de Jack Dorsey ont été publiés depuis une plateforme appelée Cloudhopper. C’est une société que Twitter avait rachetée pour l’aider à développer son service d’envois de tweets par SMS. Il suffisait d’envoyer des messages à un numéro donné pour publier des tweets. Aux débuts de la plateforme, c’était d’ailleurs ainsi que l’on partageait des contenus sur Twitter.
https://twitter.com/Hooray/status/1167525255600058371
Cette hypothèse a été confirmée par les services de communication de Twitter. « Le compte est maintenant sécurisé, ont-ils dit. Le numéro de téléphone associé au compte a été compromis à cause d’une faille de sécurité du fournisseur mobile. » Ils expliquent qu’elle permettait à n’importe qui d’écrire et d’envoyer des tweets sous forme de SMS, depuis le numéro de téléphone.
Selon Twitter, il n’y aurait aucune raison de croire que d’autres failles aient pu être exploitées ou que d’autres comptes aient été piratés le même jour. La faille a depuis été résolue et on ignore si elle avait un lien avec AT&T. La marque a reconnu un problème de sécurité quant au piratage des comptes des vidéastes mais elle n’a pas encore réagi à ce piratage.
Le compte de Jack Dorsey est une cible privilégiée par les hackers. En 2016, il avait déjà été piraté par une entreprise spécialisée dans la cybersécurité, OurMine. Un tweet indiquant qu’il s’agissait d’un test de sécurité avait alors été publié, avec une vidéo et un lien vers le site d’OurMine. L’entreprise avait aussi hacké d’autres CEO comm Mark Zuckerberg, de Facebook ou Sundar Pichai, de Google.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
