Piratage massif de Twitter : une simple campagne de phishing à l'origine des comptes volés

Par Nathan Le Gohlisse, Spécialiste Hardware.

Publié le 31 juillet 2020 à 16h45

Piratés courant juillet, les comptes Twitter de plusieurs personnalités dont Joe Biden, Barack Obama, Elon Musk ou encore Bill Gates, auraient été accessibles aux hackers à la suite d'une simple campagne de phishing, ciblant des employés de Twitter. C'est du moins vers cette piste que s'oriente le réseau social.

Comment les pirates ont-ils pu mettre la main sur les outils internes qui ont permis l'accès aux comptes de plusieurs figures américaines prédominantes ? C'est la question à laquelle l'enquête en cours chez Twitter cherche à apporter une réponse. Et un début de réponse serait justement à portée de main. La principale piste de Twitter pointe vers une campagne de phishing ciblée.

Du Spear Phishing qui aurait tapé juste

D'après les indices découverts, notamment auprès des membres du forum « OGUsers », opérant à la limite de la légalité, un utilisateur aurait proposé sur la plateforme des outils internes récupérés auprès d'employés de Twitter.

Ces outils auraient été récupérés à la suite d'une campagne de Spear Phishing. Une méthode visant à cibler certaines personnes en particulier pour obtenir des éléments précis. Cette campagne, focalisée sur « un petit nombre d'employés » n'ayant pas tous accès à des outils de gestion, explique Twitter, aurait néanmoins porté ses fruits en permettant de cibler d'autres employés, plus haut gradés.

Comme l'indique Engadget, c'est suite à cette première tentative que les pirates ont mis la main sur des « identifiants ayant permis d'accéder aux systèmes internes et d'obtenir des informations sur les processus » de Twitter, explique le groupe. Parallèlement, un canal Slack utilisé en interne par Twitter aurait aussi été compromis, au point de permettre l'obtention d'informations confidentielles. Sans écarter cette hypothèse, Twitter n'a pas encore donné de détails à ce propos.

Twitter en dit plus sur ce qui a été fait avec les comptes piratés

Ce que la firme a en revanche précisé dans son dernier rapport, c'est ce que les pirates ont été en mesure de faire avec les comptes hackés. On apprend ainsi que 130 comptes en tout ont été visés et que 45 d'entre eux ont été utilisés pour tweeter des messages non légitimes. Un accès aux boîtes de réception de messages privés de 36 d'entre eux a par ailleurs été constaté. Enfin, les données de sept comptes auraient été copiées, apprend-on.

« Nous améliorons nos méthodes de détection et de prévention des accès inappropriés à nos systèmes internes, et donnons la priorité au travail de sécurité dans nombre de nos équipes », a en outre expliqué Twitter, qui s'engage à fournir ultérieurement un rapport complet sur ce piratage à l'ampleur inédite.

Source : Engadget

Par Nathan Le Gohlisse

Spécialiste Hardware

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !

Articles de Nathan Le Gohlisse

Piratage / Cybercriminalité

X.com (Twitter)

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (5)

Peter_Vilmen

Est-ce normal de pouvoir se connecter aux outils de gestion depuis un réseaux externe ? Ils auraient pas pu limiter aux bureaux ?

lapin-tfc

télétravail oblige

Demongornot

Franchement, ça ne m’étonnes pas, le phishing a fait énormément de progrès, il faut toujours être parano sur internet, mais c’est particulièrement vrais pour les mails.
Par exemple, je reçois un en particulier en ce moment, soit disant de Chronopost qui me propose de tester et garder gratuitement un aspirateur Dyson, voici le mail :

La partie éffacée après le « Bonjour » contient mon adresse email sans le « @ », ce qui veux dire que dans le cas de « JohnSmith@ quelquechose. fr », l’email affichera « Bonjour JohnSmith, », voir mieux, il arrive qu’ils sont assez intelligent et afficheront « Bonjour John Smith, » car ils détectent les combo nom/prénom avec une base de donnée qui recense des tonnes de noms et prénoms et si un nom ou prénom est trouvé, c’est très facile de se débarrasser du reste de l’adresse ou de rajouter un espace.
C’est d’ailleurs ce qui m’est arrivé sur une autre email « pro » que je n’utilise que pour les choses « officielles » ou mon nom est déjà connu, à la place de JohnSmith… j’ai eu plusieurs fois un « Bonjour John Smith » sans le reste se trouvant entre le nom/prénom et l’arobase.

Pour ce qui est de l’email pour le Dyson :
L’adresse qui me l’envoie est « ne-pas-repondre@ chronopost. fr » (j’ai volontairement mis des espaces), seulement voila, les liens lors ce qu’on passe la sourie sur l’image, sur le « Inscrivez-vous… », et sur le « se désabonné » sont les suivants :

C’est qu’un exemple de phishing plutôt bien réussit que je reçoit plus ou moins régulièrement, voila pourquoi il faut être prudent.

La première règle c’est de regarder l’adresse de l’expéditeur, attention certains malins jouent avec le NOM d’expéditeur pour faire croire à certaine adresse d’envoie, et d’autre falsifie tout simplement l’adresse d’envoie comme c’est probablement le cas ici. (Ou alors un employé de Chronopost fait du phishing, mais ça m’étonnerais).

En suite, regarder le contenu, si on vous propose un Samsung Galaxy S20 gratuit ou en cours de livraison (exemple réel) et que vous n’en avez achetez aucun, la logique pure permet de se douter qu’il y a un soucis.

Et souvent, la meilleur défense, c’est d’être très attentif au liens, en passant votre curseur par dessus (ne pas cliquer), très souvent les phishing ont des liens facilement identifiable, mais attention quand même, un simple un « Chronoposte » à la place de « Chronopost » ou « Facebo0k » à la place de « Facebook » peux facilement trompé même les plus vigilants.

Je ne compte plus le nombre de faux Paypal ni de faux Netflix que je reçoit en phishing !

Restez prudent avec vos emails, c’est très facile de se faire avoir.
Il y a même des pseudo blackmails, tel que « J’ai des photo de toi en train de regarder des films pour adultes, envoie moi XXX bitcoins à cette adresse … ou j’envoie la vidéo à tout tes contacts », ou la même chose mais avec un de vos mot de passe.
Pas de panique !
Déjà, si ils avez votre vidéo par hack de webcam, ils l’auraient affiché dans le mail pour vous le prouvé, pour le mot de passe, ils ont acheté sur le deepweb des liste de mot de passe cracké depuis des bases de données mal sécurisé ainsi que les emails qui correspondent, et non pas, comme ils voudraient vous le faire croire, avoir mis un virus sur votre ordi qui a récupérer ça.
Si vous savez à quel site correspond le mot de passe en question, changez le rapidement, et c’est pour ça que c’est TRÈS important de ne pas réutiliser ses mots de passe (même des variations), car un seul site compromis vous exposera entièrement.
Et surtout sachez qu’ils envoient ce genre de mail en grand nombre et que avec une somme précise en Bitcoin, ils ont aucun moyen de savoir qui a payer, donc même si ils écrivent « paye moi SINON », faite juste le nécessaire pour votre mot de passe et tout ira bien.

Beaucoup de personnes pensent avoir était piraté, alors qu’en fait c’est un simple fishing qui leur a simplement fait donné d’eux même, sans le savoir, leur informations, je pense que c’est LA méthode qui expose le plus les informations compte/mot de passe sur le net.

Bref, restez parano mais ne stressez pas, tant que vous savez un minimum ce que vous faite, vous minimisez de façon significative les risques, et si vous n’êtes pas sûr, faite une recherche sur le web pour vérifier si quoi que ce soit d’officiel correspond ou si d’autre personnes ont signalé ce mail de phishing.

Myst

J’avais fais un gros paragraphe, mais je l’ai perdu, flemme de tout réécrire.

Bref, les VPNs existent, la double authentification (SMS, applications, générateur de code physique ou clé USB) aussi, les alertes mails pour des connexions depuis des postes inconnus aussi, et éventuellement la validation géographique ça fonctionne aussi dans certains cas pour repérer des cas suspects.

Je dis pas que c’est impossible à passer aux travers, mais ça complexifie pas mal la tâche.

Il manque juste des gens compétents pour mettre en place ces solutions.

mrassol

j’aurais pas dit mieux ^^