Plus de 1 000 personnes sur Twitter ont pu aider à pirater des comptes.


Plus d’un millier d’employés et de sous-traitants de Twitter au début de cette année avaient accès à des outils internes qui pouvaient modifier les paramètres des comptes utilisateurs et donner le contrôle à d’autres, ont déclaré deux anciens employés, ce qui rend difficile la défense contre le piratage qui s’est produit la semaine dernière.

Twitter Inc et le FBI enquêtent sur la brèche qui a permis aux pirates de tweeter à plusieurs reprises à partir de comptes vérifiés de personnes telles que le candidat démocrate à la présidence Joe Biden, le philanthrope milliardaire Bill Gates, le directeur général de Tesla Elon Musk et l’ancien maire de New York Mike Bloomberg.

Twitter a déclaré samedi que les pirates ont « manipulé un petit nombre d’employés et utilisé leurs identifiants » pour se connecter à des outils et leur donner accès à 45 comptes. Ici Mercredi, il a déclaré que les pirates auraient pu lire des messages directs de et vers 36 comptes mais n’ont pas identifié les utilisateurs concernés.

Les anciens employés familiers des pratiques de sécurité de Twitter ont déclaré que trop de personnes auraient pu faire la même chose, plus de 1 000 au début de 2020, y compris certains chez des entrepreneurs comme Cognizant.

Twitter a refusé de commenter ce chiffre et n’a pas voulu dire si le nombre avait diminué avant le piratage ou depuis. L’entreprise cherchait un nouveau responsable de la sécurité, travaillant à mieux sécuriser ses systèmes et formant ses employés à résister aux ruses des étrangers, a déclaré Twitter. Cognizant n’a pas répondu à une demande de commentaires.

« On dirait qu’il y a trop de personnes qui ont accès », a déclaré Edward Amoroso, ancien chef de la sécurité chez AT&T. Les responsabilités au sein du personnel auraient dû être réparties, avec des droits d’accès limités à ces responsabilités et l’obligation pour plus d’une personne d’accepter d’effectuer les changements de compte les plus sensibles. « Pour bien faire de la cyber-sécurité, il ne faut pas oublier les choses ennuyeuses ».

Les menaces des initiés, en particulier du personnel de support externe moins bien payé, sont une préoccupation constante pour les entreprises qui desservent un grand nombre d’utilisateurs, ont déclaré les experts en cybersécurité. Selon eux, plus le nombre de personnes pouvant modifier les paramètres clés est important, plus la surveillance doit être forte.

Les anciens employés ont déclaré que Twitter s’était amélioré en matière d’enregistrement des activités de ses utilisateurs suite à de précédents échecs, notamment des recherches dans les dossiers d’un employé accusé en novembre dernier d’espionnage pour le compte du gouvernement d’Arabie saoudite.

Mais si la journalisation facilite les enquêtes, seules des alarmes ou des examens constants peuvent transformer les journaux en quelque chose qui peut empêcher les infractions.

John Stewart, ancien directeur de la sécurité de Cisco Systems, a déclaré que les entreprises disposant d’un large accès doivent adopter une longue série de mesures d’atténuation et « s’assurer en fin de compte que les personnes autorisées les plus puissantes ne font que ce qu’elles sont censées faire ».

On ne sait pas exactement qui a provoqué cette série de piratage, mais des chercheurs extérieurs comme Allison Nixon de l’unité 221B affirment que l’incident semble lié à un groupe de cybercriminels qui échangeaient régulièrement des pseudos de fantaisie – en particulier des noms de compte à un ou deux caractères rares – qui sont traités un peu comme les plaques d’immatriculation de vanité du monde en ligne.

Bien que les preuves publiques liant le piratage à ces derniers soient circonstancielles, les pseudos Twitter ultra courts ont été parmi les premiers à être détournés.

En outre, les forums où ces pirates étaient actifs sont depuis longtemps remplis de vantards qui se vantent d’avoir accès aux initiés de Twitter, selon Nixon et Nick Bax, un analyste de StopSIMCrime, un groupe qui fait pression pour une meilleure protection contre le « SIM swapping » – une technique de détournement de numéros de téléphone souvent utilisée par ce genre de pirates.

Bax a déclaré avoir vu sur des forums des références aux « plugs Twitter » ou « représentants de Twitter » – les termes utilisés pour décrire les employés de Twitter coopératif – depuis aussi longtemps que 2017.

L’implication potentielle de cybercriminels de bas niveau a particulièrement alarmé les professionnels en raison de l’implication qu’un gouvernement hostile pourrait être capable de causer encore plus de dégâts.

L’accès aux comptes des dirigeants nationaux a été limité à un nombre beaucoup plus restreint de personnes après qu’un employé malhonnête ait brièvement supprimé le compte du président Donald Trump il y a deux ans. Cela pourrait expliquer pourquoi le compte de Biden a été détourné, mais pas celui de Trump.

Twitter devrait augmenter le nombre de comptes protégés, a déclaré John Adams, ancien ingénieur en sécurité de Twitter. Entre autres choses, les comptes ayant plus de 10 000 adeptes devraient avoir besoin d’au moins deux personnes pour modifier les paramètres clés.

Les experts en sécurité ont déclaré qu’ils craignaient que Twitter ait trop de travail à faire et trop peu de temps avant que la campagne pour les élections américaines du 3 novembre ne s’intensifie, avec une possible inférence au niveau national et d’autres pays.

Selon Ron Gula, un investisseur en cybersécurité qui a co-fondé la société de sécurité réseau Tenable, « la question est vraiment : Twitter en fait-il assez pour empêcher la prise de contrôle des comptes de nos candidats à la présidence et de nos organes d’information face à des menaces sophistiquées qui exploitent des approches nationales ?

Lors d’un appel à discuter des bénéfices des entreprises jeudi, le directeur général de Twitter, Jack Dorsey, a reconnu les erreurs du passé.

« Nous avons pris du retard, tant en ce qui concerne nos protections contre l’ingénierie sociale de nos employés que les restrictions sur nos outils internes », a déclaré M. Dorsey aux investisseurs.


Rédaction par Greg Mitchell et Grant McCool, pour Reuters ; édité et traduit par,

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Translate »
%d blogueurs aiment cette page :