Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Plus de 1 000 personnes chez Twitter avaient la capacité d'aider au piratage des comptes,
Rendant difficile la défense contre l'attaque de la semaine dernière

Le , par Stan Adkens

9PARTAGES

4  0 
La semaine dernière, 45 comptes Twitter de personnalités publiques telles que Joe Biden, Elon Musk, Bill Gates, Barack Obama, Mike Bloomberg et d'entreprises comme Uber et Apple ont été piratés pour la diffusion d'une arnaque aux cryptomonnaies. L’attaque a conduit à 392 transactions pour un total de 12,86 bitcoins (environ 102 500 euros) au profit des arnaqueurs. Twitter a découvert que les auteurs de l'attaque ont « réussi à manipuler un petit nombre d'employés et à utiliser leurs informations d'identification ». Mais selon deux anciens employés de la société, plus de 1000 travailleurs du réseau social avaient la capacité d'aider au piratage des comptes, a rapporté l’agence de presse Reuters.

« À l'heure actuelle, nous pensons que les attaquants ont ciblé certains employés de Twitter par le biais d'un plan d'ingénierie sociale », a déclaré Twitter dans un billet de blog samedi dernier. « Les attaquants ont réussi à manipuler un petit nombre d'employés et à utiliser leurs identifiants pour accéder aux systèmes internes de Twitter, y compris en passant par nos protections à deux facteurs. À ce jour, nous savons qu'ils ont accédé à des outils dont seules nos équipes de support interne disposent pour cibler 130 comptes Twitter », a ajouté le réseau social.


Cependant, Reuters a rapporté jeudi en citant deux personnes ayant travaillé pour la société que plus d'un millier d'employés et de sous-traitants de Twitter au début de cette année avaient accès à des outils internes qui pouvaient modifier les paramètres des comptes utilisateurs et donner le contrôle à d'autres. Ce qui rend difficile la défense contre le piratage qui s'est produit la semaine dernière.

Twitter a déclaré que l'entreprise continue à enquêter sur l’incident. Dans une mise à jour de son billet de blog mercredi dernier, l’entreprise a déclaré que, pour les 130 comptes qui ont été ciblés, « les attaquants ont pu consulter des informations personnelles, notamment les adresses électroniques et les numéros de téléphone, qui sont affichées à certains utilisateurs de nos outils d'assistance internes ». « Dans les cas où un compte a été repris par l'attaquant, il se peut qu'il ait pu consulter des informations supplémentaires. Notre enquête médico-légale sur ces activités est toujours en cours », lit-on dans le billet.

« Nous pensons que pour 36 des 130 comptes ciblés, les attaquants ont accédé à la boîte de réception de messages directs/privés, dont un élu aux Pays-Bas. À ce jour, nous n'avons aucune indication qu'un autre élu, ancien ou actuel, ait vu un accès non autorisé à sa boîte de réception de messages directs. Nous travaillons activement à la communication directe avec les titulaires de comptes qui ont été touchés », a déclaré Twitter.

Le FBI enquête également sur la brèche qui a permis aux pirates de tweeter à plusieurs reprises à partir de comptes vérifiés de personnes après avoir manipulé les travailleurs de Twitter pour les aider dans leur activité malveillante. Les anciens employés familiers des pratiques de sécurité de Twitter ont déclaré que trop de personnes auraient pu faire la même chose, plus de 1 000 au début de 2020, y compris certains chez des entrepreneurs comme Cognizant, un fournisseur américain de services informatiques et de conseil, a rapporté Reuters.

Twitter et Cognizant n’ont pas répondu à une demande de commentaires de Reuters. Twitter s’est contenté de dire que l'entreprise cherchait un nouveau responsable de la sécurité, et travaillait à mieux sécuriser ses systèmes en formant ses employés à résister aux ruses des acteurs externes.

« On dirait qu'il y a trop de personnes qui ont accès », a déclaré Edward Amoroso, ancien chef de la sécurité chez AT&T. Les responsabilités au sein du personnel auraient dû être réparties, avec des droits d'accès limités à ces responsabilités et l'obligation pour plus d'une personne d'effectuer les changements de compte les plus sensibles. « Pour bien faire de la cybersécurité, il ne faut pas oublier les choses ennuyeuses », a-t-il ajouté.

Les menaces provenant des insiders, en particulier du personnel de support externe moins bien payé, sont une préoccupation constante pour les entreprises qui desservent un grand nombre d'utilisateurs, ont déclaré les experts en cybersécurité. Selon eux, plus le nombre de personnes pouvant modifier les paramètres clés est important, plus la surveillance doit être forte.

Les sources de Reuters ont aussi déclaré que Twitter s'était amélioré en matière d'enregistrement des activités de ses utilisateurs suite à de précédents échecs, notamment des recherches dans les dossiers d'un employé accusé en novembre dernier d'espionnage pour le compte du gouvernement d'Arabie saoudite. Mais si la journalisation facilite les enquêtes, seuls des alarmes ou des examens constants peuvent transformer les journaux en quelque chose qui peut empêcher les infractions.

Les pseudos Twitter ultra courts parmi les premiers à être détournés

Les responsabilités du piratage des comptes Twitter ne sont pas encore exactement situées, mais des chercheurs externes comme Allison Nixon de Unit 221B affirment que l'incident semble lié à un groupe de cybercriminels qui échangeaient régulièrement des pseudos de fantaisie - en particulier des noms de compte à un ou deux caractères rares. Bien que les preuves publiques liant le piratage à ces derniers soient circonstancielles, les pseudos Twitter ultra courts ont été parmi les premiers à être détournés, a rapporté Reuters.

Selon Nixon et Nick Bax, un analyste chez StopSIMCrime, un groupe qui fait pression pour une meilleure protection contre le "SIM swapping" - une technique de détournement de numéros de téléphone souvent utilisée par ce genre de pirates -, les forums où ces pirates étaient actifs sont depuis longtemps remplis de vantards qui se vantent d'avoir accès aux insiders de Twitter. Par ailleurs, Bax a déclaré avoir vu sur des forums des références aux "plugs Twitter" ou "Twitter reps" - les termes utilisés pour décrire les employés coopératifs de Twitter - depuis aussi longtemps que 2017.

John Stewart, ancien directeur de la sécurité de Cisco Systems, a déclaré que les entreprises disposant d'un large accès doivent adopter une longue série de mesures d'atténuation et « s'assurer en fin de compte que les personnes autorisées les plus puissantes ne font que ce qu'elles sont censées faire ».

Selon Reuters, l'accès aux comptes Twitter des dirigeants nationaux a été limité à un nombre beaucoup plus restreint de personnes après qu'un employé ait brièvement désactivé le compte du président Donald Trump en novembre 2017. Cela pourrait expliquer pourquoi le compte de M. Biden a été détourné, mais pas celui du président Trump, a suggéré Reuters.

Selon John Adams, ancien ingénieur en sécurité de Twitter, le réseau social devrait étendre le nombre de comptes protégés. Entre autres choses, les comptes ayant plus de 10 000 adeptes devraient avoir besoin d'au moins deux personnes pour modifier les paramètres clés. Reuters a également rapporté que les experts en sécurité craignaient que Twitter ait trop de travail à faire et trop peu de temps avant que la campagne pour les élections américaines du 3 novembre ne s'intensifie, avec une possible inférence au niveau national et d'autres pays.

Selon Ron Gula, un investisseur en cybersécurité qui a cofondé Tenable, une société de sécurité réseau, « la question est vraiment : Twitter en fait-il assez pour empêcher la prise de contrôle des comptes de nos candidats à la présidence et de nos organes d'information face à des menaces sophistiquées qui exploitent des approches nationales ? »

Toutefois, Jack Dorsey, le directeur général de Twitter, a reconnu jeudi les erreurs du passé, lors d'un appel à discuter des bénéfices de l’entreprise : « Nous avons pris du retard, tant en ce qui concerne nos protections contre l'ingénierie sociale de nos employés que les restrictions sur nos outils internes », a-t-il déclaré aux investisseurs.

Actuellement Twitter se concentre sur la restauration de l'accès pour tous les propriétaires de compte qui peuvent encore être bloqués à la suite des efforts de correction après l’attaque, selon le billet de blog de l’entreprise. Elle procède également à sécuriser davantage ses systèmes pour éviter de futures attaques, tout en déployant une formation supplémentaire à l'échelle de l'entreprise pour se prémunir contre les tactiques d'ingénierie sociale.

Source : Reuters

Et vous ?

Qu’en pensez-vous ?
Plus de 1000 employés et de sous-traitants de Twitter pouvaient modifier les paramètres des comptes utilisateurs. Qu’en pensez-vous ?
Pensez-vous que les réseaux sociaux seront prêts pour empêcher une possible inférence au niveau national et d'autres pays lors des prochaines élections américaines ?

Voir aussi :

Twitter : des dizaines de millions de comptes ont été la cible d'un piratage massif aux cryptomonnaies, les auteurs de l'attaque ont pu obtenir près de 13 BTC, soit plus de 100 000 euros
Les hackers ont convaincu un employé de Twitter de les aider à prendre le contrôle des comptes, qui ont servi à diffuser l'arnaque aux cryptomonnaies
Piratage de Twitter : les hackers ont « manipulé avec succès un petit nombre d'employés », ils ont été contactés par un certain Kirk, qui a affirmé travailler au sein de l'entreprise
Environ 130 comptes ont été ciblés lors du piratage de Twitter. Les mots de passe de 45 de ces comptes ont été réinitialisés, les informations sur 8 d'entre eux ont été téléchargées

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Nancy Rey
Chroniqueuse Actualités https://www.developpez.com
Le 03/08/2020 à 9:23
Trois personnes inculpées pour le piratage massif de Twitter et parmi elles un adolescent de Floride
qui a prétendu travailler pour le département informatique de Twitter

Le 31 juillet dernier, Graham Clark, un adolescent de 17 ans de la ville de Tampa, en Floride a été mis aux arrêts. Il est accusé d'être le cerveau de la plus grande atteinte à la sécurité et à la vie privée de l'histoire de Twitter, qui a pris le contrôle des comptes du président Barack Obama, du candidat démocrate à la présidence Joe Biden, de Bill Gates, de Elon Musk, de Kanye West, de Apple et d'autres pour perpétrer une énorme escroquerie au bitcoin le 15 juillet 2020.

Graham Clark (photo de la prison du comté de Hillsborough)


Il n'était visiblement pas seul : peu après la révélation de l'arrestation de Tampa, deux autres personnes ont été officiellement inculpées par le ministère américain de la Justice : Nima Fazeli, 22 ans, à Orlando, et Mason Sheppard, 19 ans, au Royaume-Uni. Selon le ministère de la Justice, ils se font appeler respectivement "Rolex" et "Chaewon". Le FBI affirme que deux individus au total sont en détention. Un mineur non identifié en Californie a également avoué aux agents fédéraux qu'ils avaient aidé Chaewon à vendre l'accès à des comptes Twitter.

Mais selon une déclaration sous serment publiée vendredi dernier, les autorités ont des raisons de croire que c'est Clark, l'adolescent de Tampa, qui a eu accès aux outils internes de Twitter et qui a directement perpétré l'escroquerie. Plus précisément, il aurait convaincu un employé de Twitter qu'il travaillait dans le département informatique de Twitter et aurait piégé cet employé pour qu'il lui donne les références.

D'après la déclaration sous serment :

Clark a obtenu sans autorisation l'accès au portail du service clientèle de Twitter. Clark a utilisé l'ingénierie sociale pour convaincre un employé de Twitter qu'il était un collègue du département informatique et a demandé à l'employé de lui fournir des références pour accéder au portail de service client.

Clark a ensuite accédé aux comptes Twitter de personnalités éminentes, dont le vice-président Joe Biden, l'ancien président Barack Obama et des entreprises telles que Apple et Coinbase. Clark a ensuite publié sur leurs comptes Twitter une communication indiquant que si des bitcoins sont envoyés sur des adresses spécifiques, ils seront doublés et leur seront renvoyés. Clark n'a pas renvoyé les fonds et les a plutôt déplacés sur un autre compte. Dix personnalités ont vu leurs informations d'identification personnelle sous la forme d'une vérification, sans leur consentement être utilisées dans l'activité frauduleuse. Clark a reçu environ 117 000 dollars lors de la mise en place de son stratagème de fraude.

La manière dont les systèmes de Twitter étaient accessibles était une question ouverte jusqu'à présent ; Twitter a simplement dit qu'il avait été victime d'une attaque de phishing téléphonique, et des rapports précédents ont suggéré que le hacker s'était infiltré dans le canal interne de Twitter Slack ou avait réussi à corrompre un employé.

Selon les agents fédéraux, Sheppard a été découvert en partie parce qu'il a utilisé un permis de conduire personnel pour vérification auprès des bureaux de change cħiffrés de Binance et Coinbase, et il a été découvert que ses comptes avaient envoyé et reçu une partie des bitcoins escroqués. Fazeli a également utilisé un permis de conduire pour vérifier auprès de Coinbase, où des comptes contrôlés par "Rolex" auraient reçu des paiements en échange de noms d'utilisateurs Twitter volés.

Fazeli risque cinq ans de prison et une amende de 250 000 dollars pour un chef d'accusation d'intrusion informatique. Sheppard est accusé d'intrusion informatique, de conspiration de fraude informatique et de conspiration de blanchiment d'argent, la plus grave de ces infractions étant passible d'une peine de 20 ans de prison et d'une amende de 250 000 dollars aux États-Unis.

Sheppard et Fazeli semblent n'être que des intermédiaires pour cette escroquerie, un hacker avec le pseudo "Kirk#5270" serait celui qui a eu accès aux systèmes internes de Twitter à partir du 22 juillet. Il n'est pas certain que Clark soit Kirk#5270, bien qu'il semble que ce soit le cas sur la base de la nouvelle déclaration sous serment. Cependant, le FBI affirme que son enquête est en cours et qu'il cherche encore d'autres suspects.

À l'origine, "Kirk" prétendait être un employé de Twitter, selon un journal de discussion de Discord


Quoi qu'il en soit, Clark est actuellement en prison et est accusé de plus de 30 chefs d'accusation, notamment de fraude organisée, de fraude aux communications, de vol d'identité et de piratage informatique, a déclaré Andrew Warren, procureur de l'État de Hillsborough, lors d'une conférence de presse décrivant l'arrestation.

Au départ, il n'était pas clair si le jeune homme de 17 ans était le seul suspect dans cette affaire. « Je ne peux pas dire s'il travaillait seul », a déclaré Warren, le procureur de Floride. Il a été arrêté à son appartement où il vit seul, selon les autorités. Il est accusé en tant qu'adulte « Ce n'était pas un jeune de 17 ans ordinaire », a déclaré le procureur. Et la conférence de presse a clairement montré que les forces de l'ordre examinent les conséquences néfastes du piratage, au-delà des plus de 100 000 dollars de bitcoin que l'adolescent est censé avoir escroqués à des utilisateurs de Twitter sans méfiance.

« Cela aurait pu entraîner le vol d'une quantité massive d'argent aux gens, cela aurait pu déstabiliser les marchés financiers en Amérique et dans le monde entier ; parce qu'il avait accès aux comptes Twitter de puissants politiciens, il aurait pu miner la politique ainsi que la diplomatie internationale », a déclaré Warren. « Ce n'est pas un jeu... ce sont des crimes graves avec de graves conséquences, et si vous pensez que vous pouvez arnaquer les gens en ligne et vous en tirer à bon compte, vous allez avoir un réveil brutal, un réveil brutal qui se présente sous la forme d'une frappe à votre porte à 6 heures du matin de la part d'agents fédéraux », a-t-il ajouté plus tard.

L'adolescent Clark a été mis en détention sans aucun incident. Il est poursuivi en Floride afin qu'il puisse être inculpé comme un adulte, ce qui laisse entendre qu'il n'y a peut-être actuellement aucune charge fédérale contre lui.

Twitter a fourni ce tweet en guise de déclaration :


En plus d'escroquer les utilisateurs de bitcoin, les attaquants ont eu accès aux messages privés directs de 36 utilisateurs de Twitter, dont un élu, et ont peut-être téléchargé des caches de données encore plus importantes pour sept autres utilisateurs. Twitter affirme qu'aucun utilisateur ayant fait l'objet d'une vérification n'a vu ses messages privés ou ses caches de données compromis, ce qui suggère que les comptes de Biden, Obama et d'autres auraient pu être en sécurité. Le compte Twitter du président Trump a longtemps bénéficié de protections supplémentaires, ce qui pourrait expliquer pourquoi il n'a pas été piraté.

Sources : Department of jusctice, FBI, Vidéo conférence

Et vous ?

Qu’en pensez-vous?

Voir aussi :

Piratage de Twitter : les hackers ont « manipulé avec succès un petit nombre d'employés », ils ont été contactés par un certain Kirk, qui a affirmé travailler au sein de l'entreprise

La technique très simple qui a permis de pirater le compte Twitter de Jack Dorsey, pour ensuite envoyer des tweets racistes à plus de 4 millions de personnes avant d'être sécurisé

Le FBI veut renforcer son niveau de surveillance des médias sociaux en collectant plus de données, dont les identifiants et les numéros de téléphone
7  0 
Avatar de marsupial
Expert confirmé https://www.developpez.com
Le 03/08/2020 à 9:56
Graham Clark est jugé en tant qu'adulte en Floride et risque donc, au regard des 30 chefs d'inculpation, une peine de dizaines d'années de prison; la minorité n'existant pas pour les crimes liés à l'argent en Floride. Mais les principaux coupables sont bien ceux qui se sont fait escroquer de part leur crédulité. En tout cas, cela sentait bien l'attaque d'amateurs avertis : ils n'ont pas pris de précautions pour le retrait des Bitcoins.
1  0