HONG KONG – Une violation de la sécurité de Twitter qui a permis aux pirates de pénétrer dans les comptes des dirigeants et des magnats de la technologie est l’une des pires attaques de ces dernières années et pourrait ébranler la confiance dans une plate-forme que les politiciens et les PDG utilisent pour communiquer avec le public, ont déclaré des experts. Jeudi.
La ruse découverte mercredi comprenait de faux tweets de Barack Obama, Joe Biden, Mike Bloomberg et un certain nombre de milliardaires technologiques, dont le PDG d’Amazon Jeff Bezos, le co-fondateur de Microsoft Bill Gates et le PDG de Tesla Elon Musk. Les célébrités Kanye West et sa femme, Kim Kardashian West, ont également été piratées.
Les pirates ont utilisé l’ingénierie sociale pour cibler certains des employés de Twitter, puis ont accédé aux comptes de haut niveau. Les attaquants ont envoyé des tweets à partir des comptes des personnalités publiques, proposant d’envoyer 2 000 $ pour chaque 1 000 $ envoyé à une adresse Bitcoin anonyme.
Les experts en cybersécurité disent qu’une telle violation pourrait avoir des conséquences désastreuses puisque les attaquants tweetaient à partir de comptes vérifiés et influents à l’échelle mondiale avec des millions d’adeptes.
« Si vous recevez un tweet d’un compte vérifié, appartenant à une personne connue et donc de confiance, vous ne pouvez plus supposer que c’est vraiment de leur part », a déclaré Michael Gazeley, directeur général de la firme de cybersécurité Network Box.
Réagissant à la violation, Twitter a rapidement supprimé les tweets et verrouillé les comptes pour enquêter. Ce faisant, il a empêché les utilisateurs vérifiés d’envoyer des tweets pendant plusieurs heures.
La société a déclaré jeudi avoir pris « des mesures importantes pour limiter l’accès aux systèmes et outils internes ».
De nombreuses célébrités, politiciens et chefs d’entreprise utilisent souvent Twitter comme plate-forme publique pour faire des déclarations. Le président américain Donald Trump, par exemple, utilise régulièrement Twitter pour publier des articles sur des questions nationales et géopolitiques, et son compte est suivi de près par les médias, les analystes et les gouvernements du monde entier.
Twitter fait face à une bataille difficile pour regagner la confiance des gens, a déclaré Gazeley. Pour commencer, il doit comprendre exactement les comptes piratés et montrer que les vulnérabilités ont été corrigées, a-t-il déclaré.
« Si des employés clés de Twitter ont été trompés, c’est en fait un grave problème de cybersécurité en soi », a-t-il déclaré. « Comment une des plateformes de médias sociaux les plus utilisées au monde peut-elle avoir une sécurité aussi faible, d’un point de vue humain? »
Rachel Tobac, PDG de Socialproof Security, a déclaré que la violation semblait être largement motivée financièrement. Mais une telle attaque pourrait entraîner des conséquences plus graves.
« Pouvez-vous imaginer s’ils avaient repris le compte d’un leader mondial et tweeté une menace de violence contre le leader d’un autre pays? » a demandé Tobac, un pirate en ingénierie sociale qui se spécialise dans la formation des entreprises afin de se protéger contre de telles violations.
Les attaques d’ingénierie sociale ciblent généralement les faiblesses humaines pour exploiter les réseaux et les plateformes en ligne. Les entreprises peuvent se prémunir contre de telles attaques en renforçant l’authentification multifacteur — où les utilisateurs doivent présenter plusieurs éléments de preuve comme authentification avant d’être autorisés à se connecter à un système, a déclaré Tobac.
Un tel processus pourrait inclure la possession d’un jeton physique qu’un employé doit avoir avec lui, en plus d’un mot de passe, avant de pouvoir se connecter à un système d’entreprise ou à un autre système privé. D’autres méthodes incluent l’installation d’outils techniques pour surveiller les activités d’initié suspectes et la réduction du nombre de personnes qui ont accès à un panel administratif, a déclaré Tobac.
Le sénateur américain Josh Hawley a appelé Twitter à coopérer avec les autorités, notamment le ministère de la Justice et le FBI pour sécuriser le site.
« Je crains que cet événement ne représente pas simplement un ensemble coordonné d’incidents de piratage distincts, mais plutôt une attaque réussie contre la sécurité de Twitter », a-t-il déclaré.
Il a ajouté que des millions d’utilisateurs comptaient sur Twitter non seulement pour envoyer des tweets mais également pour communiquer en privé via la messagerie directe.
« Une attaque réussie sur les serveurs de votre système représente une menace pour la confidentialité de tous vos utilisateurs et la sécurité des données », a déclaré Hawley.
GIPHY App Key not set. Please check settings