en partenariat avec

Social engineering : Comment Twitter s’est fait pirater ? On a la réponse !

Mercredi 15 juillet 2020, Twitter a connu la pire journée de son existence puisqu’un piratage massif a touché les comptes de certains de ses utilisateurs les plus connus, dont un ancien président des USA et l’homme le plus riche du monde. Ici, les Twittos victimes ne sont pas à blâmer puisqu’il ne s’agit pas d’une faiblesse de mot de passe ou d’une négligence, mais d’un piratage plus sournois où des employés de Twitter se sont fait berner. Bienvenue dans le monde du social engineering…

Annonce

Si vous suivez les actualités, vous avez forcément eu vent du piratage d’influents comptes Twitter dont ceux de Jeff Bezos (patron d’Amazon), Bill Gates ou Barack Obama. Les pirates ont cherché à vendre les comptes en question avant de monter une arnaque à la mode : le fameux « c’est mon anniversaire, donne-moi 1 Bitcoin et je t’en rends 2 parce que je suis sympa et riche ». Bien sûr des tonnes d’idiots ont envoyé leur PEL parce que c’est évident : quand il était en place, l’ami Obama faisait pousser les billets verts dans la Zone 51.

Bref, ce qui nous intéresse ici c’est comment tous ces gens connus se sont fait pirater au même moment. Impossible d’imaginer une action groupée sur autant de comptes, dès le début les soupçons se sont tournés vers Twitter. Très vite la société l’a concédé : il s’agit du résultat d’une « attaque coordonnée d’ingénierie sociale » dans laquelle les hackers ont trompé des employés de Twitter. Ces derniers ont tout simplement donné les accès à des outils internes. Pas besoin de craquer un mot de passe ou de gruger une authentification en deux étapes si on a les mêmes moyens qu’un employé de Twitter…

Annonce

On a aussi parlé d’un employé qui se serait fait soudoyer, mais nous croyons qu’il s’agit d’une sorte de bouc émissaire fantôme. Il est plus facile de jeter l’opprobre sur un employé X (on parie qu’il ne sera jamais démasqué ?) que de dire : «On est des quiches, on a filé les clés du camion à un monsieur qui parlait bien ». Mais qu’est-ce que le social engineering ou «ingénierie sociale» ?

Annonce


Twitter a confirmé cette utilisation de l’ingénierie sociale dans l’attaque


L’ingénierie sociale, vieille comme le monde

Einstein disait «Deux choses sont infinies : l’Univers et la bêtise humaine. Mais, en ce qui concerne l’Univers, je n’en ai pas encore acquis la certitude absolue». En utilisant la bêtise, l’ignorance, la peur, l’avarice, la fierté, la paresse ou la crédulité de certaines personnes, il est possible d’obtenir ce qu’on veut. Pourquoi essayer de hacker un mot de passe s’il suffit de le demander «gentiment» ?

Ce n’est pas aussi simple que cela, mais en utilisant un peu sa tête, il est possible de manipuler les gens pour leur faire croire à certaines situations et leur «monter un bateau». Il faut pour cela se mettre dans la tête de la cible. Dans cette situation on peut imaginer que des employés ayant accès à ces outils internes (et donc avec le droit de vie ou de mort sur un compte) ont pu donner les accès à une personne qui connaissait bien le fonctionnement de l’entreprise. Un ancien employé ? Lorsqu’on connaît les rouages, la chaîne de commande et le jargon, on peut très bien se faire passer pour le « +1 » de quelqu’un…

Ici Brian est le pirate et John la victime. Le premier appelle le second sur sa ligne professionnelle :

« – Allô John, c’est Brian. Tu vas rire, les gars du siège m’ont transféré à XXX et là tous mes accès ont été révoqués, je suis dans la mouise.

– Heu…Brian ?

– Oui enfin c’est Monsieur Larson, le chef de la division XXX, on s’est rencontré au stage XXX en décembre dernier à Washington. Comment vont Sarah et tes deux monstres ? [Merci les réseaux sociaux]

– Ha oui, Monsieur Larson désolé… [John vient de se rappeler que ce Monsieur Larson est un cadre de l’entreprise]

– Je t’avais dit de m’appeler Brian mon pote ! Bon, je t’appelle parce que Rebecca devait régler tout pour moi ici, mais il y a un problème parce que je n’ai aucun accès sur mes comptes VIP depuis l’interface XXXX. [Le pirate connaît le jargon de l’entreprise, place le prénom d’une femme et insiste sur le fait que c’est lui qui gère certains VIP]

– Rebecca ?

– Oui, Madame Rogers. Dis, tu me suis là ? Parce que j’ai vraiment besoin d’un coup de maintenant ! [Rebecca c’est Madame Rogers, une employée placée très haut dans la hiérarchie que jamais John ne pourrait appeler « Rebecca ». Brian en profite pour lui mettre la pression]

– Mais tu veux les accès complets à l’interface XXX, tu sais qu’il y a un protocole, je ne peux pas faire ça comme ça…

– Oui mon pote, je sais qu’il y a un protocole parce que c’est en partie moi qui l’ai mis en place, mais là j’ai une urgence sur un compte et ça ne peut pas attendre.

– Je peux peut-être le faire pour vous alors ?

– Sur le compte d’Obama ? T’es mignon ! Non, ce qu’on va faire c’est que tu va me donner ton accès à toi et tu changes ton mot de passe aussitôt. Comme ça pas vu pas pris et je saurai m’en rappeler mon pote. [La messe est dite. John est persuadé qu’il a en ligne un cadre qui doit intervenir sur le compte de Barack Obama. Il fait ce qu’on lui dit de faire] »

Bon, bien sûr il s’agit d’un cas de figure simpliste, nous imaginons bien que l’ensemble a dû être plus complexe que cela pour les forbans.

Mais ce n’est pas la fin de l’histoire ! Et non, car avec l’accès à ces prestigieux comptes, notre pirate a forcément eu accès aux messages privés des victimes ! Eh oui, Twitter ne chiffre pas de bout en bout les communications privées. Imaginez la quantité d’informations qui ont pu être enregistrées avec de potentiels cas de chantage à la clé. Cette histoire n’a pas fini de faire couler de l’encre.

Kevin Mitnick et son «Art of Deception»

Si vous souhaitez en savoir plus sur le social engineering, sachez que Kevin Mitnick a coécrit un livre entier sur ce sujet. Celui qu’on considère comme le meilleur hacker du monde n’a pas uniquement réussi grâce à ses talents en informatique. L’art de la supercherie (The Art of Deception), publié en 2002, traite de l’art du social engineering principalement par le biais de la téléphonie. Si vous êtes plutôt «cinéma», vous trouverez quelques exemples dans le film retraçant une partie de la vie de Mitnick : Cybertr@aque (Takedown).

mitnick
Alors là je décroche mon téléphone et je lui dis : « coucou c’est Jésus »

Partagez l'article :

Articles populaires