GlobalSign Blog

Série « Autopsie d’un cybercrime » : la grande attaque Twitter de 2020

Série « Autopsie d’un cybercrime » : la grande attaque Twitter de 2020

Note de la rédaction : octobre marque le mois européen de la sensibilisation à la cybersécurité, un mois entier dédié à la création d’un monde cyber plus sécurisé pour tous. Nous vous avions déjà livré 31 conseils pour être mieux informés. Cette année, pour mettre en lumière ce sujet crucial, nous avons décidé de présenter quatre incidents de cybersécurité de grande ampleur qui auraient pu être évités avec plus de vigilance et une meilleure stratégie de défense. Rejoignez-nous chaque semaine d’octobre pour découvrir l’une de ces cyberattaques qui ont défrayé la chronique, et continuez à nous suivre pour rester informés et éviter d’ajouter votre nom à la liste des victimes. 

La cybervictime

Twitter : la plateforme de réseau social en ligne créée en 2006 dispose aujourd’hui de plus de 25 bureaux dans le monde et compte plus de 321 millions d’utilisateurs actifs par mois. Elle figure généralement dans les sept réseaux sociaux qui comptent le plus..

Le fond de l’affaire

Le 15 juillet, la célèbre plateforme découvre qu’elle est la cible d’une attaque par hameçonnage. Des employés du service client et de l’assistance technique de Twitter ont reçu des messages leur demandant de fournir leurs identifiants et de réinitialiser leur mot de passe. La plupart d’entre eux les ont transmis au service de sécurité, mais huit employés ont malheureusement obtempéré. Les conséquences de leur geste sont dignes d’un scénario catastrophe : les comptes de l’ancien président des États-Unis, Barack Obama, et de son vice-président, Joe Biden, sont piratés, tout comme ceux d’Elon Musk, de Bill Gates, de Michael Bloomberg, de Kanye West, d’un élu des Pays-Bas et de la société Apple.  

twitter cyber attack july 2020 tweet from bill gates screenshot.png

La spectaculaire attaque a été décrite par le site américain The Verge comme « l’une des infractions de sécurité les plus étendues et les plus déconcertantes jamais connues par la plateforme ». Les pirates sont parvenus à diffuser une arnaque aux bitcoins par le biais de tweets émis par 45 comptes, sur les 130 dont ils avaient obtenu l’accès. Sur le plan financier, l’arnaque n’aura permis de récolter « que » 120 000 dollars, autrement dit, une goutte d’eau. Mais là n’est pas le plus embarrassant. En effet, l’un des cerveaux de l’attaque est encore au lycée et a déjà amassé plus de 3 millions de dollars en bitcoins. 

L’historique des cyberattaques chez Twitter

L’attaque de cet été contre Twitter est loin d’être la première. Plusieurs incidents notables sont déjà à déplorer, dont voici quelques exemples : 

  • Janvier 2015 : Des messages de menace sont publiés sur le compte Twitter du commandement militaire central des États-Unis, tandis que sur la bannière, on peut lire les mots « i love you isis », soit en français « je t’aime Daech ». L’armée qualifie cet acte de « cybervandalisme » et réagit immédiatement en désactivant ses comptes sur les réseaux sociaux.
  • Juin 2016 : 32 millions de mots de passe Twitter sont mis en vente sur le Dark Web suite à l’intrusion d’un logiciel malveillant. 
  • Juillet 2016 : Le compte du PDG de Twitter, Jack Dorsey, est piraté. 
  • Novembre 2017 : Le compte du président Donald Trump est désactivé et fermé pendant environ 11 minutes par un employé malintentionné qui prévoit de quitter l’entreprise. L’incident a soulevé des questions sur l’octroi aux employés de Twitter de droits d’accès aux comptes des utilisateurs.
  • Août 2019 : À la suite du piratage du numéro de téléphone associé au compte de Jack Dorsey, des tweets très offensants sont publiés, avant d’être retirés presque instantanément. Un groupe qui se fait appeler « Chuckling Squad » revendique l’intrusion. 

Le récit des événements

Les sept ou huit employés qui se sont fait piéger ont été redirigés vers un site contrôlé par les pirates sur lequel ils ont saisi leurs identifiants. Ce faisant, ils leur ont fourni des informations critiques, telles que leur nom d’utilisateur et leur mot de passe, mais aussi des codes de secours permettant de contourner l’authentification à plusieurs facteurs pour se connecter à Twitter. 

Peu de temps après, plusieurs comptes Twitter, tels que @drug, @xx ou @vampire, ont été piratés. Signe manifeste que quelque chose clochait, un tweet pour le moins inhabituel est publié dans l’après-midi sur le compte de la plateforme d’échange de cryptomonnaies Binance. Accompagné d’un lien redirigeant vers un site web frauduleux, il annonçait la redistribution d’environ 52 millions de dollars de bitcoins à ses abonnés. Dans l’heure qui a suivi, 11 comptes liés à des cryptomonnaies ont adopté un comportement similaire. Plus tard, ce sont les comptes d’Elon Musk et de Bill Gates qui ont été touchés. 

Ne sachant pas d’où provenait l’attaque, Twitter était dans l’impossibilité de prédire quels comptes seraient à leur tour ciblés. L’interruption complète du service paraissant difficilement envisageable, l’entreprise a décidé dans la soirée d’empêcher la publication de tweets depuis la totalité des comptes certifiés, et appliqué des restrictions supplémentaires aux comptes dont le mot de passe avait été modifié peu de temps avant. 

Les structures touchées

Cette opération de grande ampleur a semé un véritable chaos, comme le rapporte le magazine WIRED. Les services de prévisions météorologiques américains n’ont pas pu lancer d’alerte concernant l’arrivée d’une tornade, et les médias, dont WIRED, se sont trouvés dans l’incapacité de tweeter au sujet de l’attaque. Le compte officiel du centre d’assistance de Twitter est donc devenu la principale source d’informations sur la plateforme. 

Les pirates ont pu lire les messages privés de 36 comptes, notamment celui de l’élu des Pays-Bas. D’après Twitter, aucun autre élu exerçant, ou ayant exercé, un mandat n’a eu à déplorer ce genre d’incident, ce dont on peut se réjouir étant donné l’état de panique qu’a déclenché le piratage des comptes de Barack Obama et de Joe Biden. Comme l’éminent expert en sécurité Graham Cluely le raconte sur le blog Tripwire, “si on lit entre les lignes, il me semble que Twitter essaie de rassurer les médias et le grand public américain en expliquant que les messages privés de Barack Obama et Joe Biden n’ont pas été compromis pendant l’attaque.” 

Le mode d’entrée

L’attaque par hameçonnage a révélé la présence d’une faille de sécurité béante du côté de Twitter. Il s’est avéré que l’entreprise n’utilisait pas le chiffrement de bout en bout pour les messages privés. Selon un article de Vice, le sénateur américain Ron Wyden avait discuté de l’adoption du chiffrement complet deux ans auparavant avec Jack Dorsey. À présent, il semblerait que l’absence de système de chiffrement de bout en bout ait fait cruellement défaut dans cette affaire. 

Le diagnostic

Dans la période qui a suivi, Twitter a conclu qu’un trop grand nombre de personnes disposait d’un niveau d’accès bien trop élevé. L’entreprise demande désormais à tous ses employés d’utiliser une clé physique d’authentification à deux facteurs

Comment peuvent agir les entreprises pour éviter ce genre de situations ? Et bien elles peuvent commencer par revoir leurs paramètres Twitter, sur le site web de Twitter ou via l’application mobile. Pour plus d’informations à ce sujet, consultez cet article éclairant de Lance Whitney publié sur Tech Republic

Nous avons fait le tour de l’incident de la semaine ! Nous vous donnons rendez-vous la semaine prochaine pour décrypter une nouvelle cyberattaque d’envergure. Vous pouvez aussi vous abonner à notre newsletter dans la barre latérale de notre site pour ne manquer aucune publication.

iStock-466365997.jpg
 

Share this Post