Piratage sur Twitter: Un employé complice malgré lui (ou pas) des hackers?
Twitter a subi mercredi 15 juillet l'une des plus grandes cyberattaques de son histoire. Un hacker a eu pu prendre le contrôle de plusieurs comptes certififés pour diffuser une arnaque de crypto phishing. Un "god mode" sur Twitter que le hacker aurait obtenu via un employé de la firme, qui pourrait bien être complice.
La cyberattaque massive qui a touché plusieurs comptes certifiés comme ceux d'Apple, Elon Musk ou Bill Gates par exemple, n'aurait pas profité d'une faille de sécurité mais du "social engineering." Selon le site MotherBoard, c'est un employé de Twitter qui aurait ouvert la porte aux hackers, malgré lui ou non.
Une faille humaine, et non technique
Comprenez que le ou les hacker.s n'auraient pas exploité une brèche logicielle. Cette attaque massive, qui diffusait une arnaque aux cryptomonnaie ayant rapporté plus de 100.000 dollars aux hackers, serait le produit de l'ingénierie sociale.
Le "social engineering", dans ce contexte, désigne une technique qui vise à manipuler une personne psychologiquement afin de soustraire des informations et accéder à des données sensibles d'un système informatique. Tout se fait sans l'exploitation de failles matérielles ni logicielles. La faille, c'est l'humain.
Twitter a confirmé cette utilisation de l'ingénierie sociale dans l'attaque via son compte @TwitterSupport, sans toutefois mettre en cause le ou les employés concernés. La firme se contente seulement d'expliquer qu'une "attaque d'ingénierie sociale coordonnée [...] qui a visé plusieurs de nos employés ayant accès à des outils et des systèmes internes."
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Twitter Support (@TwitterSupport) July 16, 2020
Ici, Twitter laisse donc entendre que les employés se seraient vu soustraire des informations sensibles, malgré eux, manipulés qu'ils étaient par les techniques de social engineering.
Victime sous emprise ou complice?
Sauf que MotherBoard, en citant des témoins anonymes, prétend que le ou les employés pourraient bien avoir été des complices sans qu'aucune manipulation ne soit nécessaire.
MotherBoard cite par exemple deux sources ayant pris le contrôle de certains des comptes Twitter. Elles expliquent avoir payé une personne travaillant chez Twitter pour avoir accès à un outil interne d’administration. Pas de social engineering donc, mais de la vente de secret industriel et commercial.
Cet article de MotherBoard, un site très sérieux, est tout de même à prendre avec beaucoup de pincettes. Les deux sources sont citées anonymement et le site évoque des captures d'écran de Twitter pour appuyer lesdits témoignages sans toutefois les produire, le réseau social les ayant apparemment supprimées.
Officiellement, Twitter n'a donc pas confirmé l'implication directe de certains de ses employés, qui auraient sciemment donné cet accès quasi total aux hackers. Seule la piste du social engineering, d'une manipulation, est retenue pour l'instant.
Dans cette affaire dont on a pas fini de parler, la plus grande faille de sécurité de Twitter était donc une faille humaine et non technique.
À lire également sur AndroidPIT France:
Source : MotherBoard