Passer au contenu

Comment le patron de Twitter s’est fait pirater son compte

Grâce à une attaque de type « SIM swap », les hackers ont réussi à récupérer le numéro de téléphone du dirigeant fondateur Jack Dorsey. Ce qui était suffisant pour envoyer des tweets en son nom.

Vendredi dernier, des pirates ont réussi à prendre le contrôle du compte Twitter de Jack Dorsey, le PDG et fondateur du service de microblogging. Les hackers, qui se font appeler « Chuckling Squad », ont profité de cet accès pour diffuser, entre autres, des messages négationnistes et une alerte à la bombe. Ce détournement a duré 30 minutes avant que l’entreprise n’y coupe court.

Comment les pirates ont-ils réussi cet exploit ? Par la méthode dite du « SIM swap » qui consiste à associer à une autre carte SIM le numéro de téléphone de l’utilisateur ciblé, en occurrence Jack Dorsey. Pour arriver, les pirates manipulent les techniciens de support des opérateurs en faisant croire à un vol, ou alors ils s’appuient sur des complices internes.

https://twitter.com/TwitterComms/status/1167591003143847936

Une fois qu’ils ont obtenu le contrôle du numéro de téléphone, les hackers de Chuckling Squad n’avaient plus qu’une chose à faire : envoyer des SMS vers la plate-forme de Twitter. Les messages étaient acceptés et publiés automatiquement sans autre forme d’authentification. C’est une particularité du service Twitter.

Le SIM swap existe également en France, notamment pour réaliser des attaques sur le système d’authentification 3D Secure, qui envoie aux utilisateurs un code par SMS pour valider une transaction. À terme, cette méthode d’authentification par SMS devrait néanmoins disparaître dès l’application de la directive DSP2 en 2022. Mais l’envoi de messages Twitter par SMS sera peut-être toujours possible…    

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn