Vendredi après-midi, les 4,2 millions d’adhérents de Jack Dorsey sur Twitter ont eu une mauvaise surprise. Un groupe  avait accédé au compte et s’était servi de cet accès pour diffuser un flot de messages offensants et de plug-ins. En moins de 15 minutes, le compte était à nouveau sous contrôle, mais cet incident rappelait les graves vulnérabilités des comptes les plus prestigieux et la véritable insécurité de l’authentification par téléphone.

Les hackers sont entrés via le service de messagerie instantanée de Twitter, exploité par le service acquis Cloudhopper. Avec Cloudhopper, les utilisateurs de Twitter peuvent publier des tweets en envoyant des messages texte à un numéro abrégé, généralement le 40404. Le système nécessite uniquement de lier votre numéro de téléphone à votre compte Twitter, ce que la plupart des utilisateurs font déjà pour des raisons de sécurité distinctes. Par conséquent, le contrôle de votre numéro de téléphone suffit généralement à poster des tweets sur votre compte. La plupart des utilisateurs n’en ont aucune idée.

En fin de compte, contrôler le numéro de téléphone de Dorsey n’était pas aussi difficile que vous le pensiez. Selon une déclaration de Twitter, une «supervision de la sécurité» par le fournisseur a laissé les pirates informatiques prendre le contrôle. En termes généraux, ce type d’attaque est appelé piratage de la carte SIM. Il s’agit essentiellement de convaincre un opérateur d’attribuer le numéro de Dorsey à un nouveau téléphone qu’ils contrôlent. Ce n’est pas une technique nouvelle, bien qu’elle soit plus souvent utilisée pour voler des bitcoins ou des poignées Instagram de grande valeur. C’est souvent aussi simple que de brancher un mot de passe divulgué. Vous pouvez vous protéger en ajoutant un code PIN à votre compte opérateur ou en enregistrant des comptes Web comme Twitter via des numéros de téléphone factices, mais ces techniques peuvent être trop demander à l’utilisateur moyen. En conséquence, l’échange de cartes SIM est devenu l’une des techniques préférées des fauteurs de troubles en ligne , et comme nous l’avons découvert aujourd’hui, cela fonctionne plus souvent que vous ne le pensiez.

Chuckling Squad, l’équipe qui a repris le compte de Dorsey, pratique ce tour depuis des années. Jusqu’à présent, leurs attaques les plus importantes ont été une série d’influenceurs en ligne, ciblant jusqu’à dix personnalités différentes avant Dorsey.

L’histoire de ce type de piratage est bien plus ancienne que celle de Chuckling Squad ou même de SIM Swapping. Tout système permettant à un utilisateur de tweeter plus facilement permettra également à un pirate informatique de prendre le contrôle de son compte. En 2016, Dorsey a été la cible d’une attaque similaire exploitant des plug-ins tiers autorisés, qui ont souvent été abandonnés, tout en conservant la permission d’envoyer des tweets au compte. Cette technique est devenue moins importante au fur et à mesure que les techniques de permutation de cartes SIM sont devenues plus largement comprises, mais les objectifs fondamentaux du vandalisme forcé sont restés en grande partie inchangés.

Néanmoins, l’incident est embarrassant pour Twitter, et pas simplement en raison de la difficulté immédiate à reprendre le contrôle du compte du directeur général. Le monde de la sécurité est au courant des attaques par échange de cartes SIM depuis des années et le compte de Dorsey avait déjà été vandalisé. Le simple échec du contrôle du compte du PDG est un échec important pour la société, avec des implications bien au-delà de quelques minutes de chaos. J’espère que Twitter apprendra de l’incident et accordera la priorité à une sécurité renforcée , peut-être même en éloignant la vérification de Twitter par SMS , mais vu les antécédents de l’entreprise, je doute que beaucoup de gens retiennent leur souffle.