•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Plus de 1000 personnes, à Twitter, avaient accès à l’outil qui a facilité le piratage

Ce nombre est beaucoup trop grand, selon des spécialistes en sécurité informatique.

Plusieurs logo de Twitter et plusieurs signe typographiques de croisillon, désignant le fameux mot-clic.

L’outil qui devrait bientôt être déployé donne accès aux tweets liés à la COVID-19 et au coronavirus en temps réel.

Photo : afp via getty images / AFP

Reuters

Plus d'un millier de personnes travaillant pour Twitter avaient, plus tôt cette année, accès aux outils internes pouvant servir à modifier les paramètres d'un compte sur le réseau social et à confier le contrôle à d'autres, a appris Reuters de deux anciens membres du personnel de la firme américaine.

Ces déclarations sont de nature à fragiliser la défense de Twitter après l'opération coordonnée de piratage qui a touché, la semaine dernière, les comptes de plus d'une quarantaine de personnalités, parmi lesquelles l'ancien président américain Barack Obama, le milliardaire Bill Gates ainsi que le patron de Tesla, Elon Musk.

Twitter et le FBI ont ouvert des enquêtes sur cet incident, lors duquel les pirates informatiques ont vraisemblablement consulté les messages privés de 36 comptes. L’un d’entre eux appartenait d’ailleurs à un élu néerlandais.

Dans un billet de blogue publié samedi dernier, Twitter a indiqué que les pirates avaient « manipulé » un petit nombre de membres du personnel et utilisé leurs identifiants pour se connecter aux outils internes de l'entreprise et s'approprier les accès de 45 comptes.

Un tweet de Barack Obama qui dit, en anglais, qu'il remettra à toute personne qui lui envoie de l'argent à une adresse bitcoin le double de la somme versée.Agrandir l’image (Nouvelle fenêtre)

Le compte Twitter Barack Obama est l'un de ceux qui ont été piratés.

Photo : Capture d'écran Twitter

Des gens qui ont déjà travaillé pour Twitter, au fait des pratiques du réseau social en matière de sécurité, ont déclaré qu'un trop grand nombre de personnes auraient pu effectuer des détournements similaires plus tôt cette année : plus de 1000 personnes, dont certaines étaient salariées d'entreprises prestataires comme Cognizant.

Twitter a refusé de commenter ce nombre et n’a pas indiqué s’il avait diminué avant ou depuis la cyberattaque.

Le groupe a fait savoir qu'il cherchait un ou une responsable de la sécurité, qu'il travaillait à mieux protéger ses systèmes et à former son personnel pour qu'il résiste aux supercheries externes.

Cognizant n'a pas répondu à une demande de commentaire.

Menaces d'initiés

Il semble qu'il y ait beaucoup trop de personnes disposant d'accès, estime Edward Amoroso, ancien directeur de la sécurité de AT&T. Les prérogatives au sein du personnel auraient dû être réparties, avec des accès limités à ces prérogatives et la nécessité que plus d'une personne soit présente pour procéder à des changements sensibles pour un compte, croit-il.

Selon des spécialistes en sécurité informatique, les menaces d'initiés – en particulier de prestataires externes à bas salaire – sont une source constante d'inquiétude pour les entreprises qui offrent leurs services à un grand nombre d'utilisateurs et d’utilisatrices.

Un tweet de Kanye West qui dit, en anglais, qu'il remettra à toute personne qui lui envoie de l'argent à une adresse bitcoin le double de la somme versée.Agrandir l’image (Nouvelle fenêtre)

Le compte du rappeur Kanye West a également été piraté.

Photo : Capture d'écran Twitter

À leurs yeux, plus le nombre de personnes pouvant modifier des paramètres clés est grand, plus la supervision doit être stricte.

Des personnes travaillant précédemment pour Twitter ont déclaré que le réseau social s'était amélioré dans le suivi d'activité de son personnel après de précédents incidents, dont des recherches d'informations privées effectuées par un employé accusé l'an dernier d'espionnage pour l'Arabie saoudite.

Si les rapports d'activité sont précieux lors d'enquêtes, seuls des mécanismes d'alerte ou des analyses constantes permettent de se servir de ces données pour éviter des failles de sécurité.

L'ancien chef de la sécurité de Cisco Systems, John Stewart, est d’avis que les entreprises à large accès devaient mettre en place un ensemble de restrictions et, au bout du compte, s'assurer que les personnes ayant les plus hauts niveaux d'accès font seulement ce qu'elles sont censées faire.

Comptes protégés

Un flou demeure sur l'identité des pirates ayant mené l'opération de la semaine dernière. Cependant, des forums sur lesquels sont actifs certains groupes criminels sont truffés, de longue date, de messages vantant des accès à des gens à l’interne de Twitter, dit Nick Bax, analyste pour StopSIMCrime.

La possible implication de pirates de bas niveau inquiète d'autant plus les spécialistes, qui redoutent les ravages que pourrait provoquer une attaque menée avec l'implication d'un gouvernement hostile.

L'accès aux comptes Twitter des personnalités politiques a été limité à un nombre restreint de personnes après qu'un employé rebelle eut brièvement supprimé le compte du président américain, Donald Trump, en 2017. Cela pourrait expliquer pourquoi le compte du locataire de la Maison-Blanche n'a pas été détourné la semaine dernière, contrairement à celui de son rival pour l'élection présidentielle américaine, Joe Biden.

Twitter doit accroître le nombre de comptes protégés, a déclaré John Adams, ancien ingénieur en sécurité du réseau social. Il faudrait notamment que toute modification importante sur les comptes ayant plus de 10 000 personnes abonnées puisse seulement être effectuée avec la validation d'au moins deux personnes.

Des spécialistes ont exprimé leur inquiétude quant à l'ampleur du travail qu'il reste à accomplir à Twitter en très peu de temps, alors que la campagne électorale aux États-Unis va s'intensifier en vue du scrutin du 3 novembre, avec le risque d'ingérence nationale et de pays étrangers.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

Cybercriminalité

Techno