Net-Actuality

Piratage de Twitter : l'histoire

Piratage de Twitter : l'histoire

Korben, l'un des plus grands blogueurs français sur les nouvelles technologies, a reçu un mail d'un certain Hacker Croll. Ce dernier montrait via des captures d'écran l'envers du décor de Twitter, c'est-à-dire la partie administration.

Pour rappel, Twitter est le phénomène du moment dans les réseaux sociaux, dont le principe est simple : les personnes communiquent entre elles sur leur profil via des messages de 140 caractères maximum, un peu à la manière des SMS.
A l'heure actuelle, la plupart des célébrités ont adopté ce moyen de communication, ce qui en fait donc un service très populaire auprès de beaucoup.


Pour en revenir au piratage de Twitter, l'exploit d'Hacker Croll n'est pas d'avoir multiplié des attaques contre le serveur ou autres : il a tout simplement deviné la réponse à la question secrète de boîtes mails d'employés de Twitter. Parmi ces employés, citons tout de même le directeur de Twitter Evan Williams et son épouse.

Donc en premier lieu, il accède aux boîtes mail en devinant "simplement" la réponse à la question secrète. Puis, une fois dans la boîte mail, c'est la caverne d'Ali-Baba.
En effet, sûrement comme la plupart d'entre vous, les employés de Twitter ont pris pour habitude de renseigner une unique adresse email pour tous les sites sur lesquels ils s'inscrivent.
Résultat : les mots de passe sont disponibles sur l'adresse mail des employés. Et on ne parle pas là de forums de discussions insignifiants : Amazon, Apple, AT&T (téléphonie mobile), Paypal, etc.
Dès lors, il a aussi pu accéder à plein d'informations personnelles : grilles de salaires, numéros de téléphones, contrats confidentiels, numéros de cartes bleues, futurs projets de Twitter, etc.

Mais il a aussi eu accès à la gestion des noms de domaines de Twitter, et si un pirate plus malveillant que Hacker Croll était tombé dessus, il aura tout à fait pu rediriger les noms de domaines vers une autre adresse IP : ainsi, les internautes du monde entier auraient entré www.twitter.com, mais seraient en fait tombé sur un autre site, site qui aurait pu être dangereux (installation de logiciels espions, etc.).

"Heureusement" pour Twitter, le pirate qui a eu accès à ses informations est une personne qui ne voulait ni porter atteinte au site, ni à ses employés.

Pour faire parler de lui, Hacker Croll n'a pas fait dans la demi-mesure : il a raconté son histoire et envoyé ses captures d'écran à Korben et Techcrunch, deux grands blogeurs en France et aux Etats-Unis respectivement.

Cette histoire de piratage d'un des plus grands sites du moment sera pour nous l'occasion de remettre en question l'efficacité de la question secrète.
En effet, trop souvent on nous rappelle de faire attention au choix du mot de passe, qui devrait combiner chiffres et lettres, majuscules et minuscules, et ne rien signifier.
Mais la question secrète, qui permet de réinitialiser un mot de passe, tourne très souvent autour de la vie privée, et il suffit de bien connaître la personne en question (ou tout du moins sa vie) pour avoir des chances de trouver la réponse.

On terminera cet article sur le message du pirate joint au mail reçu par les deux blogueurs :

« Ce que je voudrais dire c'est que les plus grands font des conneries plus grandes qu'eux sans pour autant s'en apercevoir et j'espère que mon intervention leur fera prendre conscience que nul n'est à l'abri sur le net. Si j'ai fait cela c'est dans le but de sensibiliser ces personnes qui pensent être plus en sécurité que de simples internautes novices. Et la sécurité ça commence par des trucs simples comme les questions secrètes dont beaucoup ignorent réellement leur utilité ou l'impacte que ça peut avoir sur leur vie privée si un pirate parvenait à les contourner. »

Flux RSS des derniers billets publiés.

Ils ont dit...

n°1 - Ecrit par Quelqu'un ... (Visiteur), .

Rang : Visiteur

C'est pas du hack ça, c'est du social engineering

Flux RSS des derniers commentaires publiés sur le billet.

Ajouter un commentaire

En vous enregistrant en tant que membre, vous vous assurez d'avoir votre propre pseudonyme réservé, tout en n'ayant plus à saisir de code de sécurité ni de pseudo. En postant un message, vous déclarez accepter nos conditions générales d'utilisation.

Captcha :Si vous voyez les champs suivants, veuillez ne surtout PAS LES COMPLETER. Ce test vise à nous protéger des robots spammeurs.
Mémoriser mes identifiants : Sauvegarde votre pseudo et votre adresse e-mail, afin que n'ayez plus à les resaisir ultérieurement.