Le compte Twitter de Jack Dorsey, CEO de la plateforme, est brièvement passé sous contrôle partiel d’un collectif de hackeurs. Ceux-ci auraient usurpé la carte SIM de l’entrepreneur pour ensuite exploiter le service de « tweet par SMS » du réseau social.

Le patron de Twitter, Jack Dorsey, en 2013. Crédit : JD Lasica // Flickr

Être le big boss de Twitter et se faire hacker son compte Twitter, c’est quand même un comble. D’autant que ce n’est même pas la première fois que cela se produit. Vendredi soir, les 4,2 millions de followers du compte du CEO Jack Dorsey ont donc pu assister à un bref moment de vandalisme, les pirates postant des messages racistes et néonazis et des liens vers leur chaîne sur le service de discussion Discord.

La gloire n’a duré que quinze minutes pour ces hackeurs du groupe Chuckling Squad, qui ont été promptement été éjectés du compte et bannis de Discord. L’attaque en elle-même relève plus du trolling que de la recherche de profits — d’autres pirates ont pu prendre le contrôle de comptes Twitter influents pour y promouvoir des fraudes sur des cryptomonnaies. Mais l’incident souligne à quel point il peut être facile de prendre le contrôle d’un compte sur les réseaux sociaux, y compris celui du patron.

Techniquement, Chuckling Squad n’est pas rentré en force dans le compte même de Dorsey. Le collectif a pris un chemin détourné via le service Cloudhopper, acquis par Twitter en 2010. Celui-ci permet de poster un tweet en écrivant un SMS à un numéro donné. Pour tweeter via Cloudhopper, pas besoin donc de réentrer son mot de passe Twitter à chaque fois. Il suffit de se munir de son propre numéro de téléphone… ou celui de quelqu’un d’autre. C’est là qu’entre en jeu une technique bien connue du piratage de comptes : le « SIM swapping ».

Usurpation de carte SIM

Le piratage de carte SIM consiste à convaincre un opérateur télécom d’assigner le numéro de téléphone de la victime à une carte SIM en possession de l’attaquant. La procédure implique généralement de l’ingénierie sociale, en allant manipuler des employés humains de l’opérateur. Le SIM swapping sert essentiellement à contourner l’authentification à deux facteurs (2FA) utilisée pour sécuriser les comptes.

Les dégâts concrets causés à la victime peuvent aller de l’embarrassant — comme la fois, en 2017, où le compte Instagram de la chanteuse Selena Gomez s’était mis à poster des photos érotiques de son confrère Justin Bieber — au très problématique — tel le cas en 2018 d’un investisseur qui avait poursuivi l’opérateur AT&T en justice après s’être fait volé 23,8 millions de dollars en cryptomonnaie.

Peu de méthodes fiables pour se prémunir

Le groupe Chuckling Squad s’est fait une spécialité dans ce genre d’attaque. Celui-ci a piraté les comptes d’une dizaine d’influenceurs sur les dernières semaines, sans but explicite mis à part celui de semer un chaos temporaire en postant des messages offensants. Le collectif semble avoir une astuce particulière pour s’attaquer aux clients de l’opérateur américain AT&T, qui est aussi celui de Jack Dorsey.

Malheureusement, il y a peu de méthodes fiables pour se prémunir contre une usurpation de carte SIM, car le maillon faible est du côté des opérateurs. Le mieux que l’on peut faire est de passer à une forme plus sophistiquée d’authentification à double facteur : via une application comme Google Authenticator ou Authy, ou encore une clé physique de type YubiKey ou Google Titan.

Clé Titan vs Google Authenticator : que choisir pour sécuriser sa vie numérique ?