vendredi 2 avril 2010

L'affaire du hacker auvergnat révèle la fragilité de Twitter



Quatre ans après sa naissance, le réseau social américain Twitter commence à s'implanter réellement dans l'Hexagone - plutôt chez les adultes branchés que chez les ados, qui restent fidèles à Facebook. Grâce à la France, le monde a aussi découvert que Twitter n'est pas aussi sécurisé qu'il le prétend.

Le premier pirate informatique ayant fait savoir qu'il avait pénétré ses serveurs est un Français, le célèbre "Hacker Croll". Son acte remonte à avril 2009, et il n'a été arrêté qu'en mars 2010, après une enquête menée conjointement par la police française et le FBI. Dans la vraie vie, "Hacker Croll" s'appelle François Cousteix, c'est un chômeur de 24 ans qui habite chez ses parents dans la banlieue de Clermont-Ferrand. Le mythe en prend un coup, mais l'exploit reste remarquable.

Hacker Croll a réussi à voler des masses de documents appartenant à la société Twitter, et les a transmis à des webmagazines français et américains, qui en ont publié des extraits. La liste est impressionnante : comptes rendus de réunions, documents financiers, contrats confidentiels, négociations secrètes avec d'autres entreprises... Il a aussi trouvé des listes d'employés de Twitter, avec leurs préférences alimentaires, leurs salaires, leurs coordonnées bancaires.

Le plus inquiétant est la façon dont il s'y est pris. Hacker Croll n'est pas un programmeur surdoué capable d'inventer des logiciels d'attaque ultrasophistiqués. Il a plutôt agi comme un enquêteur traditionnel, opiniâtre et astucieux. Tout d'abord, il a repéré que plusieurs techniciens chargés d'administrer Twitter possédaient par ailleurs des sites personnels. En consultant les registres officiels d'Internet, il obtient leurs adresses e-mails privées, puis se connecte sur le compte Yahoo!Mail de l'un d'entre eux. Se faisant passer pour lui, il déclare avoir perdu son mot de passe. Or pour en choisir un nouveau, il suffit de répondre à une "question secrète" (du type "Dans quelle ville êtes-vous né ?"). En lisant attentivement le blog de sa victime, Hacker Croll y trouve une masse d'informations : âge, code postal, ville de naissance, loisirs, etc.

Par déduction, il parvient à répondre à la question secrète, change le mot de passe et s'empare du compte. Il lance alors une recherche dans les archives et récolte des mots de passe plus stratégiques, permettant de prendre les commandes des serveurs Twitter. De proche en proche, il s'introduit dans d'autres comptes, y compris celui d'Evan Williams, directeur général de l'entreprise, et de son épouse... Il parvient même à prendre le contrôle du nom de domaine "twitter.com" : s'il l'avait voulu, il aurait pu détourner le trafic Twitter vers un autre site Web.

Une fois dans la place, il en profite pour visiter les profils de différentes célébrités américaines présentes sur Twitter comme l'acteur Ashton Kutcher, la chanteuse Britney Spears et le président Barack Obama. Il n'a rien vandalisé, n'a pas publié de faux messages, car il se considère comme un hacker "éthique". Reste que pour un débutant motivé, sa méthode est assez facile à imiter.

En théorie, il y a encore plus fort. Sur Twitter, on peut pirater quelqu'un qui n'y est même pas inscrit, car n'importe qui peut créer un profil en empruntant le nom d'autrui. Pour plus de crédibilité, l'usurpateur affichera sur le profil une photo de sa victime, prise à la sauvette ou trouvée sur Internet. Il pourra alors publier à volonté des messages stupides, scandaleux ou ignobles et les signer du nom de sa victime, pour détruire sa réputation ou lui attirer des ennuis avec la justice.

Si elle possède une certaine notoriété, les internautes trouveront très facilement ses messages Twitter. Il suffira de taper son nom sur Google, qui indexe désormais les profils Twitter et leur contenu.

Les célébrités peuvent échapper à ce piège, car Twitter leur propose un service payant d'authentification : une pastille bleue collée sur le profil à côté de la photo, signe magique indiquant aux usagers ordinaires qu'ils arrivent sur une vraie page de star.

Pour les autres, il existe une mesure préventive, mais elle est fatigante : il faut s'inscrire sous son vrai nom - avant qu'un autre ne le fasse -, et publier des masses de messages méritant d'être lus. On va ainsi établir sa réputation en ligne, se créer une "marque personnelle" durable. La surexposition, seul remède au détournement.

Aucun commentaire:

Enregistrer un commentaire

 
Website Monitoring by InternetSeer hotel pas cher Votez pour ce site sur l'annuaire Tixido Annuaire des blogs, Net-CUP Annuaire blog: Rechercher et soumettre son blog gratuitement dans notre annuaire Paperblog : Les meilleurs actualités issues des blogs Annuaire blog