À la fin de la semaine dernière, le compte Twitter de Jack Dorsey, PDG de Twitter, a été piraté. Ayant compromis le compte, les assaillants ont commencé à publier un contenu offensif et raciste pour le compte de Dorsey, et ont même affirmé qu’une bombe avait été posée au siège de la société. Le groupe de piratage Chuckle Gang a revendiqué la responsabilité de cette attaque.
Selon des chiffres officiels, l’attaque serait due à un oubli de la part de l’opérateur de téléphonie mobile, qui aurait compromis et autorisé une personne non autorisée à utiliser le numéro de téléphone de Dorsey pour envoyer des SMS. Le fait est que, jusqu’à récemment, Twitter pouvait être utilisé via des messages SMS, ce qui était assez populaire à l’aube de l’apparition du service. La condition principale : que cette fonctionnalité soit supportée par l’opérateur télécom. Il était une fois une limite de 140 caractères apparue précisément pour cette raison: en raison de la longueur maximale des messages SMS.
À propos de cette « faiblesse », Twitter est connu depuis longtemps. Ainsi, à la fin de 2018, les experts d’Insinia Security ont mis en garde contre les dangers de l’utilisation des messages SMS en tant que deuxième facteur d’authentification et expliqué pourquoi il était difficile d’utiliser les fonctionnalités de Twitter via SMS. Pire encore, il existe des articles sur les dangers de cette fonctionnalité datant de 2007 et 2009 sur le net.
Le problème est que, ces dernières années, les cybercriminels ont de plus en plus «volé» des cartes SIM utilisateur en mettant en œuvre ce que l’on appelle le swap SIM. L’essence de ces attaques est que le criminel s’adresse aux représentants de l’opérateur mobile de la victime et utilise l’ingénierie sociale. Par exemple, en se faisant passer pour le propriétaire du numéro, l’attaquant affirme avoir perdu ou cassé la carte SIM et tente de transférer le numéro vers la nouvelle carte SIM. Ensuite, les assaillants volent des comptes liés au numéro de téléphone, dérobant ainsi l’identité d’autres personnes. Ces attaques sont souvent utilisées pour voler de grandes quantités de crypto-monnaie ou pour compromettre des comptes Instagram coûteux .
Les développeurs de Twitter ont annoncé qu’après le piratage de Dorsey, ils avaient décidé de désactiver la fonctionnalité d’envoi de tweets via des messages SMS. Il est souligné que l’arrêt est temporaire, cependant, le moment de la reprise de cette fonction n’est pas encore appelé. Il est intéressant de noter que dans le même temps, les développeurs rejettent dans une certaine mesure la responsabilité sur les opérateurs de téléphonie mobile, soulignant qu’ils doivent corriger les vulnérabilités de leur côté.