Jack Dorsey a beau être le patron de Twitter, et disposer du tout premier compte de l’histoire, cela ne le met pas à l’abri des hackers. Son compte Twitter a en effet été piraté le vendredi 30 août durant une grosse quinzaine de minutes aux alentours des 22 heures (heure française). Durant ce laps de temps, les hackers sont parvenus à poster des tweets tantôt incompréhensibles, tantôt haineux voire carrément antisémites. Le piratage a par la suite été confirmé par Brandon Borrman, le vice-président des communications mondiales chez Twitter.
Yes, Jack's account was compromised. We're working on it and investigating what happened.
— Brandon (@bborrman) August 30, 2019
L’enquête de Twitter a révélé que les hackers sont parvenus à s’introduire via Cloudhopper, qui permet aux utilisateurs de publier des tweets directement via SMS à un numéro abrégé, une pratique qui peut s’avérer utile lorsqu’on n’a pas de connexion internet ou pas accès à l’application. Ce système nécessite ainsi de lier votre numéro de téléphone à votre compte Twitter, mais inclus ainsi le risque de se faire pirater… son numéro. Concrètement, les hackers ont ainsi procédé au piratage de la carte SIM de Dorsey, une pratique qui consiste à transférer le numéro de téléphone associé à une carte SIM vers une autre SIM via l’opérateur. Ce type de piratage est couramment utilisé afin de voler des bitcoins, mais semble également efficace pour s’approprier des comptes Twitter grâce à Cloudhopper.
Par ailleurs, le compte Twitter du boss de Twitter n’a pas été piraté par n’importe qui. Il s’agit d’une équipe baptisée Chuckling Squad, connue pour avoir auparavant piraté de nombreuses personnalités, et même le compte de la police de Londres en juillet dernier. À chaque fois, le groupe a posté des tweets avec les hashtags #Chucklingsquad et #ChucklingHella, et le compte de Dorsey n’y a pas échappé.
Bien qu’il arrive couramment que des comptes Twitter soient piratés, que celui du patron de Twitter le soit reste inquiétant. Au-delà de quelques minutes de chaos sur le compte de Jack Dorsey, c’est bien une importante faille du système de sécurité de Twitter qui est aujourd’hui mise en lumière par toutes ces applications qui ont accès à vos comptes, comme c’est le cas de Cloudhopper. Le réseau social à l’oiseau bleu en a profité pour rappeler à ses utilisateurs d’utiliser systématiquement l’authentification à deux facteurs afin de sécuriser au mieux leurs comptes.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Alors… D’habitude je ne dis rien et je vous défend plutôt… Mais là !
“Bien qu’il arrive couramment que des comptes Twitter
soient piratés, que celui du patron de Twitter le soit reste inquiétant,
puisque cela signifie que même le compte qui est certainement l’un des
plus protégés au monde n’est pas totalement sécurisé.”
Vous pensez sérieusement qu’un algorithme de sécurité se fasse comme ça ?
if (account == JackAccount) { maxProtect(); } else { OSEF(); }
TOUS les comptes sont forcément protégés de la même manière.
En outre ce n’est pas Twitter qui a été piraté mais le service via téléphone qui dépend de l’opérateur et non de Twitter…
C’est clair, le compte est loin d’être piraté si ils ont pu “uniquement” faire des tweets, c’est pas comme si ils avaient pu s’abonner à des comptes litigieux, trouvé des mots de passe ou eu accès à des contenus “privés” (oui, ça peut être bizarre de parler de privé sur un réseau social) …
Au final, n’importe qui qui accepte de se connecter avec son compte Twitter à un service tiers avec les droits de publication de POST peut en faire autant. Au final, il y a tellement de services qui demande le consentement pour se connecter avec Twitter ou autre qu’on peut passer à côté de “tu me donnes le consentement de faire n’importe quoi avec ton compte”
Bonjour Shadam,
Effectivement tu n’as pas tort, j’ai modifié cette partie de l’article qui prêtait à confusion… Je voulais parler du « compte qui est certainement l’un des plus protégés au monde » dans le sens où il doit certainement être plus surveillé que les autres, si bien qu’il n’a fallu que 15 minutes à Twitter pour couper l’accès aux hackers. En aucun cas les comptes ne sont pas protégés de la même manière, et tu as tout à fait raison. Merci pour ton message et mea culpa 🙂
Ok, excuses acceptées 😜