Qui est derrière l’attaque massive que Twitter a subi cette semaine ? Les 130 comptes – confirmés par Twitter – faisant la promotion d’une arnaque aux bitcoins pourraient avoir été hackés par un jeune britannique de 21, originaire de Liverpool ; c’est ce que révèle une enquête de l’expert en sécurité Brian Krebs.
Selon lui, il y a de sérieux indices désignant l’utilisation du « SIM swapping » pour accéder à ces comptes, presque tous vérifiés ou très populaires (Elon Musk, Kanye West, Barack Obama, Apple, etc.). Ce principe permet de subtiliser le numéro de téléphone utilisé pour créer le compte Twitter et d’y faire envoyer le code nécessaire à la double authentification et servant à s’y connecter.
Prendre le contrôle de comptes « OG »
C’est dans des forums consacrés à cette technique que l’ancien journaliste du Washington Post a trouvé les premières pistes. Selon Brian Krebs, on y trouve quelques jours avant l’attaque menée contre Twitter des propositions de changement d’adresse e-mail de compte Twitter permettant d’en prendre le contrôle contre 250 dollars. Si l’on est prêt à mettre entre 2 000 et 3 000 dollars, c’est carrément l’accès direct à un compte qui est proposé.
Les transactions sont proposées par des comptes Twitter identifiés comme des « OG », soit l’abréviation de « original gansters ». Ce surnom vient du fait que les pseudonymes de ses comptes sont très courts (@b, @joe, ou encore @lol). Cela prouve que ce sont parmi les tout premiers comptes ouverts sur la plate-forme, peu de temps après sa création en 2006, et leur confère donc une aura de précurseurs. Hacker ces comptes est donc perçu comme prestigieux dans cette communauté.
Un enchevêtrement de comptes
Le compte @6 est alors désigné comme prochaine cible. Il était auparavant géré par le hacker Adrian Lamo, depuis décédé. Il est maintenant administré par un ami à lui, chercheur en sécurité et identifié seulement par son pseudonyme Twitter, @lucky225. Pendant le hack de ce compte, un autre, @b, lui aussi hacké, commence à tweeter des captures d’écran de l’interface interne d’administration de Twitter. Ce fut aussi le cas du compte @shinji qui renvoyait également vers le compte @6. L’utilisateur @shinji revendiquait enfin l’administration de deux autres comptes, Instagram cette fois-ci, @j0e et @dead.
D’après les informations de Brian Krebs, ces deux comptes Instagram sont ceux d’un « SIM swapper » bien connu des experts en sécurité sous le surnom de PlugWalkJoe. Il fut déjà impliqué dans plusieurs attaques mettant en jeu des arnaques au bitcoin. En analysant l’historique de ces comptes sur Internet Archive, l’expert en sécurité a fait le lien de son appartenance au ChucklingSquad, une équipe soupçonnée d’être derrière le hack du compte de Jack Dorsey (le patron de Twitter) l’année dernière.
Le FBI s’en mêle aussi
L’industrie de la sécurité semble s’accorder sur le fait que ce PlugWalkJoe n’est autre que Joseph James Connor, un jeune britannique de 21 ans, habitant en Espagne pour suivre des études depuis l’année dernière et toujours bloqué dans le pays à cause des restrictions de voyage dues à l’épidémie de Covid-19.
Une enquêtrice affirme d’ailleurs avoir réussi à le convaincre de réaliser un chat vidéo avec lui, qui se déroulait au bord d’une piscine. La même piscine qui avait été instagrammée par @j0e, prouvant qu’il s’agissait bien de lui.
En plus de l’enquête de Brian Krebs, Twitter a annoncé avoir lancé ses propres investigations en interne. Le FBI confirme aussi s’être emparé du sujet, notamment à cause de la fraude concernant la cryptomonnaie.
Sources : KrebsOnSecurity, Reuters
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.