Joe Biden, Barack Obama, Bill Gates et d’autres, piratés sur Twitter: ce qu'il faut savoir

"J’offre des bitcoins à tous mes abonnés. Je double tous les paiements envoyés à l’adresse bitcoin ci-dessous…", reprenaient notamment les tweets. L’arnaque, visant un très grand nombre de ces abonnés, a fonctionné brièvement, permettant à ses auteurs de récolter quelque 116 000 dollars sous forme de cryptomonnaies, au travers de milliers de petits versements. De l’argent numérique qui, une fois versé, ne peut pas être récupéré, bien entendu.

Réaction rapide, dégâts considérables

Les responsables du réseau de "microblogging" ont rapidement pris les choses en main, bloqué les comptes concernés, communiqué de manière très transparente et entamé une enquête pour faire la lumière sur la manière dont les comptes ont été détournés. Mais c’est clairement un coup dur pour l’entreprise, qui a vu sa cotation chuter de près de 5% en dehors des horaires de marché. Et cela même si les montants extorqués restent négligeables.

Une faille de sécurité classique

Les premières informations diffusées par Twitter indiquent qu’il y a là le résultat d’une attaque menée contre certains de ses employés disposant d’accès aux systèmes et aux outils de haut niveau. Et c’est bien là que le bât blesse.

Pour le professeur Georges Ataya (Solvay Brussels School Economics&Management), spécialiste de la sécurité informatique, "il s’agit de la faille de sécurité la plus idiote et la plus classique, le tendon d’Achille des entreprises en la matière : les employés disposant d’accès administrateur. Même si les responsables de Twitter se défendent de laisser de telles ouvertures dans ses systèmes, elles s’y trouvent puisque cette attaque a fonctionné".

On peut pourtant imaginer que des dispositions ont été prises pour sécuriser ces accès, un an après le piratage du compte du patron de Twitter, Jack Dorsey. "La faille, ce sont les administrateurs des systèmes qui se croient au-dessus des lois et exigent des accès illimités. Ils sont parmi les meilleurs dans leur domaine et se prennent pour les maîtres du monde", assure encore George Ataya.

Pour lui, c’est simple, "il y a deux manières de pirater un compte Twitter ou autre appartenant à une personnalité. Soit on essaie des mots de passe jusqu’au moment où on le trouve, soit on pirate un employé qui a accès aux identifiants et mots de passe des utilisateurs".

Réseaux vulnérables

L’affaire, qui fait déjà grand bruit, tombe assez mal alors que les réseaux sociaux sont déjà dans le viseur des autorités. "À quelques mois des élections, cela montre en effet leur vulnérabilité, alors que l’on sait l’importance de leur impact sur l’attitude des électeurs. Et on parle ici d’élections qui vont sans doute déterminer une partie du futur du monde", ponctue Georges Ataya. On l’a vu, une telle opération implique une réaction technique aux implications majeures puisque des ténors politiques ou des leaders d’opinion suivis au niveau mondial sont réduits au silence en quelques instants, pour une durée indéterminée, alors qu’ils utilisent des comptes vérifiés, officialisés par le réseau.

Crédibilité entamée

Pour Twitter, le chantier ne fait donc que débuter puisqu’il s’agit de sécuriser les comptes impliqués et peut-être d’autres, puisque l’on ne sait rien des informations auxquelles les pirates ont eu accès. Sur le compte Twitter de l’entreprise, on assure avoir déjà pris des mesures limitant drastiquement l’accès aux outils internes utilisés par les pirates. Informé par Twitter, le FBI (Federal Bureau of Investigation) a brièvement communiqué à ce propos, enjoignant au public de ne pas verser d’argent dans ce type d’environnement et semblant ne voir dans l’incident qu’une fraude financière.