Vendredi dernier, des pirates ont réussi à prendre le contrôle du compte Twitter de Jack Dorsey, le PDG et fondateur du service de microblogging. Les hackers, qui se font appeler « Chuckling Squad », ont profité de cet accès pour diffuser, entre autres, des messages négationnistes et une alerte à la bombe. Ce détournement a duré 30 minutes avant que l’entreprise n’y coupe court.
Comment les pirates ont-ils réussi cet exploit ? Par la méthode dite du « SIM swap » qui consiste à associer à une autre carte SIM le numéro de téléphone de l’utilisateur ciblé, en occurrence Jack Dorsey. Pour arriver, les pirates manipulent les techniciens de support des opérateurs en faisant croire à un vol, ou alors ils s’appuient sur des complices internes.
The phone number associated with the account was compromised due to a security oversight by the mobile provider. This allowed an unauthorized person to compose and send tweets via text message from the phone number. That issue is now resolved.
— Twitter Comms (@TwitterComms) August 31, 2019
Une fois qu’ils ont obtenu le contrôle du numéro de téléphone, les hackers de Chuckling Squad n’avaient plus qu’une chose à faire : envoyer des SMS vers la plate-forme de Twitter. Les messages étaient acceptés et publiés automatiquement sans autre forme d’authentification. C’est une particularité du service Twitter.
Le SIM swap existe également en France, notamment pour réaliser des attaques sur le système d’authentification 3D Secure, qui envoie aux utilisateurs un code par SMS pour valider une transaction. À terme, cette méthode d’authentification par SMS devrait néanmoins disparaître dès l’application de la directive DSP2 en 2022. Mais l’envoi de messages Twitter par SMS sera peut-être toujours possible…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.