Le piratage Bitcoin de Twitter
Pendant quelques heures, les comptes vérifiés d’Obama, Musk et Apple ont tous demandé au monde d’envoyer des bitcoins. Un adolescent de Floride avait appelé la hotline interne de Twitter.
L’après-midi du 15 juillet 2020, les comptes vérifiés de Barack Obama, Elon Musk, Joe Biden, Bill Gates, Kanye West, Apple et Uber ont tous publié la même offre : envoyez des bitcoins à un portefeuille indiqué, recevez-en le double en retour.
Un coup de téléphone, pas un malware
L’intrusion n’est pas le fruit d’un code sophistiqué. L’attaquant principal, un jeune de dix-sept ans à Tampa, avait passé les jours précédents à téléphoner à des employés de Twitter en se faisant passer pour le service informatique interne. L’un d’eux a fini par dérouler une procédure de réinitialisation d’identifiants qui a livré l’accès à un outil utilisé par l’entreprise pour gérer les comptes utilisateurs.
À partir de cet outil, les attaquants ont réaffecté les adresses email et les destinations de réinitialisation de mot de passe sur 130 comptes prestigieux. Une fois maître de la boîte mail, on est maître du compte.
Bitcoin, brièvement
Le scam lui-même est modeste comparé à l’accès obtenu. Environ 120 000 dollars en bitcoins ont transité vers le portefeuille des attaquants en quelques heures, avant que les plateformes d’échange ne gèlent les adresses. Twitter, paniqué, a temporairement désactivé tous les comptes vérifiés dans le monde — y compris ceux des services d’urgence qui tentaient de diffuser des informations de sécurité publique.
Ce que la chronique retient
Le piratage de Twitter a été une leçon publique sur l’écart entre la sécurité technique et la sécurité humaine. Twitter disposait d’une authentification à deux facteurs fonctionnelle, d’un chiffrement solide et d’une équipe sécurité compétente. Rien de tout cela n’a pesé face à un attaquant appelant la hotline d’une voix assurée. Les outils de support client se sont révélés être le ventre mou de toutes les plateformes.