Un groupe d’anciens employés de Twitter qui ont vu sous le choc un piratage a compromis les comptes de certaines des personnes les plus en vue sur le réseau social, y compris Barack Obama, Joe Biden et Elon Musk, font partie de ceux qui tentent de comprendre comment une attaque de tels des proportions stupéfiantes auraient pu se produire. Alors qu’ils mènent leur enquête officieuse dans un groupe Slack fermé, les anciens employés, y compris certains qui faisaient partie de l’équipe de sécurité de Twitter, tentent de reconstruire les événements qui ont mené aux prises de contrôle en se basant sur leur connaissance des protocoles internes et des systèmes techniques du réseau social. .
Ce ne sont pas les seuls à chercher des réponses. Il en va de même pour les membres du Congrès, les experts en cybersécurité et Twitter lui-même. Le FBI est également impliqué: des responsables ont déclaré jeudi qu’ils enquêtaient sur l’incident, et des sources policières ont déclaré à CNN que l’agence examinait ce qui semble être des captures d’écran du logiciel de gestion de compte interne de Twitter circulant sur les médias sociaux.
L’analyse des anciens employés se concentre sur le même logiciel, un outil puissant qui donne à un nombre important de travailleurs Twitter autorisés la possibilité de gérer des comptes de haut niveau, y compris en affichant les informations utilisateur protégées et même en modifiant les adresses e-mail liées aux comptes, selon des entretiens avec plusieurs anciens employés, qui se sont tous entretenus avec CNN sous couvert d’anonymat pour discuter d’un ancien employeur. Les anciens employés ont conclu que les pirates informatiques utilisaient probablement l’outil pour accéder aux comptes, puis réinitialiser les mots de passe.
« Ça a été beaucoup de comparer des notes, des gens rafraîchissant leurs souvenirs et essayant de reconstituer comment cela s’est passé », a déclaré l’une des personnes impliquées dans les discussions. « Cela incluait des agents de sécurité qui ont tendance à être les plus créatifs en pensant à » Eh bien, si j’étais le mauvais acteur, comment ferais-je? « »
Leur analyse pourrait aider à répondre à certaines des nombreuses questions sans réponse qui demeurent encore deux jours après le début de l’attaque. Twitter a décrit à grands traits une attaque sophistiquée et coordonnée «d’ingénierie sociale» contre sa main-d’œuvre que le ou les hackers ont lancée afin de «prendre le contrôle» des comptes. Dans le pire des cas, ce type de piratage aurait pu conduire à de faux tweets influençant le marché, de fausses déclarations de guerre ou d’attaques nucléaires, ou même une désinformation qui pourrait changer le cours d’une élection – ou pire.
Twitter a refusé de commenter cette histoire.
RECHERCHE D’INDICES
Jusqu’à présent, la société a révélé des indices importants. Il a déclaré que les pirates ciblaient les travailleurs qui avaient des privilèges administratifs. Une fois qu’un certain nombre d’entre eux ont été compromis, les pirates ont utilisé leur accès aux contrôles internes pour envoyer des tweets faisant la promotion d’une escroquerie Bitcoin sous des comptes détenus par Bill Gates, Kanye West, Kim Kardashian West, Warren Buffett et d’autres. Vendredi, le New York Times a rapporté, citant des entretiens avec des personnes impliquées dans les événements, que le piratage était le travail d’un groupe de jeunes qui tiraient opportunément parti de leur accès à l’outil.
Mais cela n’explique toujours pas comment les pirates pourraient prendre le contrôle des comptes. Et une personne proche de la campagne Biden a déclaré jeudi à CNN que Twitter n’avait pas partagé beaucoup plus avec les victimes de l’attaque qu’il n’en avait divulgué au public.
Sur la base des explications préliminaires de Twitter et des captures d’écran en circulation, les anciens employés ont rapidement conclu que les pirates avaient accédé à une plate-forme administrative connue en interne sous le nom d ‘«outils d’agent» ou de «l’interface utilisateur des services Twitter». Cet outil interne est destiné aux employés pour gérer les demandes de support client et modérer le contenu, a déclaré une personne familière avec la sécurité de Twitter.
Des centaines d’employés de Twitter ont accès aux outils d’agent, selon l’une des personnes qui ont participé aux discussions avec les anciens employés. C’est une plate-forme puissante qui peut afficher les numéros de téléphone portable des utilisateurs de Twitter s’ils les ont enregistrés auprès de l’entreprise, ainsi que la géolocalisation des utilisateurs et toutes les adresses IP qui ont été utilisées pour accéder au compte, a déclaré la personne.
Ashkan Soltani, expert en sécurité et ancien technologue en chef à la Federal Trade Commission, a déclaré qu’il n’était pas inhabituel pour les entreprises de technologie de disposer d’outils internes tels que ceux-ci. Bien que les fonctionnalités et autorisations exactes puissent différer d’une entreprise à l’autre, a-t-il déclaré, la plus grande question concerne la portée de l’accès des employés compromis.
« La question à la fin de la journée est: ‘Quel niveau de [employee] « a déclaré Soltani. » Et s’il s’agissait d’un compte de niveau inférieur, Twitter fait-il quelque chose pour le segmenter correctement à partir de [employee] droits de superutilisateur? «
L’une des fonctionnalités les plus sensibles associées à l’outil de Twitter est la possibilité de modifier les adresses e-mail auxquelles Twitter envoie des instructions de réinitialisation de mot de passe. Selon les anciens employés, ce qui s’est probablement passé, c’est que les attaquants ont utilisé l’outil pour modifier les adresses e-mail associées aux comptes Twitter ciblés, puis ont envoyé des instructions de réinitialisation du mot de passe à de nouvelles adresses e-mail sous le contrôle des pirates. Une fois que les pirates ont pu modifier les mots de passe des utilisateurs, ils pouvaient se connecter aux comptes Twitter comme s’ils étaient les propriétaires légitimes.
L’attaque aurait pu se produire sous le nez des personnes dont les comptes ont été repris. De nombreuses entreprises de médias sociaux ont construit leurs systèmes de connexion utilisateur pour être sans friction, ce qui signifie que les consommateurs sont rarement déconnectés d’une application après avoir changé leur mot de passe.
« Donc, si vous êtes une célébrité, une personne utilisant cette méthode aurait pu changer votre mot de passe, mais vous ne seriez pas nécessairement exclu et vous ne le sauriez pas nécessairement », a déclaré un ancien employé.
En d’autres termes, les utilisateurs piratés auraient pu regarder leurs comptes Twitter comme si rien n’avait changé.
En principe, les techniques de sécurité telles que l’authentification à deux facteurs visent à empêcher les connexions non autorisées. Un compte protégé par une authentification à deux facteurs demandera aux utilisateurs de fournir non seulement un nom d’utilisateur et un mot de passe corrects, mais également un code de vérification envoyé à un appareil distinct qu’un utilisateur légitime contrôlerait.
Dans ce cas, toute authentification à deux facteurs sur les comptes des victimes aurait pu être contournée, ont déclaré les anciens employés. L’une des capacités des outils d’agent est la possibilité de désactiver l’authentification à deux facteurs, a déclaré l’une des personnes. (Selon Soltani, ce type de capacité, associé au pouvoir de modifier les adresses électroniques des utilisateurs, est souvent utilisé par les entreprises pour aider les clients à récupérer leurs comptes s’ils perdent l’accès à leur téléphone portable ou à leur courrier électronique.)
Si la théorie des anciens employés est correcte, alors tous les hackers devaient faire pour reprendre ces comptes importants était de désactiver l’authentification à deux facteurs si elle était activée, de changer l’adresse de destination pour la réinitialisation des mots de passe, puis de changer subrepticement les mots de passe des victimes et connectez-vous avec les nouvelles informations d’identification.
Il y a certaines choses que les outils d’agent ne permettent pas, selon l’une des personnes: La plateforme n’accorde pas directement l’accès au contenu des messages directs des utilisateurs, par exemple. Mais en se connectant à un compte en tant que propriétaire légitime, un pirate pourrait toujours accéder à ces messages. Twitter a déclaré qu’il n’y avait aucune preuve que les mots de passe aient été volés, mais il cherche toujours à savoir si des «données non publiques» ont pu être compromises.
La personne proche de la campagne Biden a déclaré que dans le cas du compte de Biden, il n’y avait aucun message compromettant à trouver. «J’ai vu les DM là-bas, et ce n’est rien de spécial», a déclaré la personne. « Ce n’est que de la sensibilisation des électeurs. »
COMMENT LES HACKERS ONT ACCÈS EST TOUJOURS INCONNU
Alors que la nature de l’attaque devient plus claire, ce qui reste un mystère est de savoir comment les pirates ont eu accès aux outils d’agent en premier lieu.
Twitter a attribué l’incident de sécurité à «l’ingénierie sociale coordonnée», un terme qui, selon Michael Coates, ancien responsable de la sécurité de l’information de Twitter, pourrait englober une gamme de menaces.
« Cela pourrait être un certain nombre de techniques utilisées, des e-mails de phishing [to] une sorte de corruption », a-t-il déclaré jeudi sur CNN« Quest Means Business ».
La société a fait face à un scandale de corruption l’année dernière lorsque les procureurs fédéraux ont accusé deux anciens employés de Twitter d’espionnage pour l’Arabie saoudite. À l’époque, Twitter a déclaré qu’il « limite l’accès aux informations sensibles du compte à un groupe limité d’employés formés et contrôlés ».
L’accès aux outils d’agent est limité par un certain nombre de garanties, ont déclaré les anciens employés.
« Je peux confirmer qu’il existe de nombreux niveaux de contrôles », a déclaré Coates, parlant des systèmes internes de Twitter au sens large. « Il y a l’analyse, la journalisation, l’analyse de la science des données, le privilège minimum – toutes ces choses que vous attendez de ces systèmes. »
Au moins deux autres niveaux de protection sont impliqués, selon les anciens employés. Dans des circonstances normales, les outils d’agent ne sont accessibles que lorsque les employés sont connectés à l’intranet de l’entreprise – ce qui signifie qu’ils doivent être physiquement au bureau ou connectés au réseau via VPN. Et pour se connecter aux outils de l’agent lui-même, les employés doivent fournir leur propre nom d’utilisateur et mot de passe d’entreprise.
On ne sait pas si la pandémie a pu conduire à des politiques de travail à distance qui auraient pu faciliter la connexion aux outils d’agent, ont déclaré plusieurs anciens employés. Bien que ce soit une possibilité, ont-ils reconnu, rien ne prouve que Twitter ait assoupli sa sécurité pour s’adapter au travail à domicile. Twitter a refusé de commenter ses politiques de travail à distance.
Même dans les outils d’agent, les rôles des employés au sein de l’entreprise peuvent limiter les comptes d’utilisateurs auxquels ils peuvent accéder, a déclaré l’un des anciens employés. Par exemple, une personne dont le travail consiste à gérer les demandes de soutien des journalistes peut avoir accès aux comptes des journalistes, mais peut-être pas à d’autres. Ces limitations peuvent aider à expliquer pourquoi les pirates ont ciblé un large éventail d’employés actuels de Twitter.
En raison des registres d’activité que Twitter conserve sur ses employés, retrouver les comptes des employés accédant aux comptes des VIP serait une tâche triviale, ont déclaré les anciens employés. Un défi plus difficile – qui nécessiterait probablement l’aide des forces de l’ordre – serait de déterminer si les employés eux-mêmes étaient impliqués sciemment ou s’ils étaient simplement utilisés comme complices involontaires par des pirates externes.
Les enquêteurs n’ont pas non plus exclu la possibilité d’une implication de l’État-nation dans l’attaque, même si pour le moment il ne semble pas y avoir de preuves de cela, selon une personne proche du dossier.
GIPHY App Key not set. Please check settings