Le week-end dernier, le compte Twitter de Jack Dorsey, fondateur et PDG de Twitter, a été piraté. Après avoir compromis le compte, les assaillants ont commencé à publier un contenu offensif et raciste pour le compte de Dorsey, et ont même affirmé qu’une bombe avait été posée au siège de la société (de telles menaces peuvent difficilement être qualifiées de farces, elles peuvent entraîner une enquête fédérale conformément à la législation américaine).
La responsabilité de cette attaque a été assumée par le groupe de hack Chuckle Gang, qui avait déjà piraté d’autres personnalités sur les réseaux sociaux. Presque rien n’est connu sur la composition et les objectifs de ce groupe. Les faux tweets de Dorsey ont duré en ligne environ une demi-heure, puis ont été supprimés.
Les professionnels de la sécurité et les utilisateurs ont rapidement constaté que CloudHopper était la source de messages non autorisés. Cette société spécialisée dans les technologies SMS, Twitter, a été acquise en 2010. CloudHopper permet notamment aux utilisateurs d’envoyer des tweets par SMS. La théorie est donc apparue dans la communauté selon laquelle les assaillants avaient capturé le numéro de téléphone réel Dorsey à l’aide d’une attaque par échange de carte SIM et avaient interagi avec son compte par SMS.
Bientôt, cette théorie a reçu une confirmation officielle . Des responsables de Twitter ont déclaré que l’attaque était due à la surveillance d’un opérateur de téléphonie mobile qui avait compromis et permis à une personne non autorisée d’utiliser le numéro de Dorsey pour envoyer des SMS.
Fait intéressant, Twitter est conscient de cette «faiblesse» depuis longtemps. Ainsi, à la fin de 2018, les experts d’Insinia Security ont mis en garde contre les dangers de l’utilisation des messages SMS en tant que deuxième facteur d’authentification et expliqué pourquoi il était difficile d’utiliser les fonctionnalités de Twitter via SMS. Pire encore, il existe des articles sur les dangers de cette fonctionnalité datant de 2007 et 2009 sur le net.
Le fait est que Twitter peut toujours être utilisé via des messages SMS , ce qui était assez populaire à l’aube de l’apparition du service. La condition principale : que cette fonctionnalité soit supportée par l’opérateur télécom. Le problème est que, ces dernières années, les cybercriminels ont de plus en plus «volé» des cartes SIM en mettant en œuvre ce que l’on appelle le swap SIM.
L’essence de ces attaques est que le criminel s’adresse aux représentants de l’opérateur mobile de la victime et utilise l’ingénierie sociale. Par exemple, en se faisant passer pour le propriétaire du numéro, l’attaquant affirme avoir perdu ou cassé la carte SIM et tente de transférer le numéro vers la nouvelle carte SIM. Ensuite, les assaillants volent des comptes liés au numéro de téléphone, dérobant ainsi l’identité d’autres personnes. Ces attaques sont souvent utilisées pour voler de grandes quantités de crypto-monnaie ou pour compromettre des comptes Instagram coûteux.
Si un attaquant prend le numéro de téléphone d’une personne, l’utilisateur rencontre immédiatement de nombreux problèmes, dont l’un peut être Twitter. En effet, pour prendre le contrôle du compte d’une autre personne sur le réseau de micro-blogging, il suffit de saisir le numéro de téléphone associé à ce compte.
Permettez-moi de vous rappeler que Jack Dorsey avait déjà été piraté en 2016. Ensuite, le groupe de piratage OurMine a assumé la responsabilité de l’attaque et les pirates ont expliqué qu’ils avaient compromis le Dropbox de Dorsey, où ils ont trouvé «toutes sortes de fichiers Vine», y compris des captures d’écran du panneau de configuration. Il s’est avéré que l’opérateur du panneau de contrôle peut voir des informations personnelles sur les personnes et leurs mots de passe, dont les attaquants n’ont pas manqué de tirer parti.