Mercredi 15 juillet à partir de 22h, Twitter a connu l’un des pires jours de son histoire. En 14 ans, le réseau social à l’oiseau bleu n’avait jamais connu de tel scénario : en l’espace de 30 minutes, plus d’une dizaine de comptes parmi les plus influents de la tech, de la politique et du monde des crypto-monnaies ont été pris de contrôle par une personne ou un groupe de personnes malveillantes.

Elon Musk, Jeff Bezos, Barack Obama, Bill Gates, mais aussi Apple, Uber et des comptes de cryptos comme Bitcoin et Binance ont publié un tweet partageant une arnaque au Bitcoin, s’adressant à la communauté de chacun pour leur reverser une somme d’argent dans la crypto-monnaie. Il aura fallu plus d’une heure et demie avant que de premières mesures fortes soient prises par Twitter, qui s’est donné, entre temps, l’unique compétence de supprimer au plus vite les tweets d’arnaques apparaissant toutes les minutes.

Que s’est-il passé ? Des premières pistes

Au petit matin en France, le compte du support de Twitter livrait ses dernières informations : pendant toute la nuit, les comptes des utilisateurs certifiés (Presse-citron en a fait partie) ont été bloqués : ils ne pouvaient plus ni tweeter, ni changer leur mot de passe. Une mesure pour éviter aux malveillants de pouvoir effectuer leurs actions.

Au même moment, les spécialistes tech du site d’actualité Vice ont dévoilé les premières pistes remontant à la technique utilisée et les auteurs de l’attaque. Selon deux sources, « les pirates ont convaincu un employé de Twitter de les aider à détourner les comptes ». Il s’agirait de personnes ayant fait partie de l’attaque et qui ont communiqué des informations sur le service de témoignage du site d’actualité canadien.

« Nous avons utilisé un représentant qui a littéralement fait tout le travail pour nous », affirmait-elle. Sur Twitter, l’information a confirmé qu’une personne avait bien eu accès à un outil de gestion – interne à Twitter – et qui aurait été utilisé pour prendre le contrôle sur les différents comptes. Vice a lui aussi pu obtenir des captures d’écran abordant le même outil, et les photos publiées sur Twitter ont rapidement été supprimées par le réseau social pour violation des règles.

Comme nous l’avancions hier, l’attaque n’a donc pas été conduite au cas par cas. Le ou les malveillants auraient utilisé cet outil interne, véritable panel permettant de prendre le contrôle sur les différents comptes. À l’heure actuelle, il est encore à se demander si l’organisation de cette attaque aurait été uniquement orchestrée par l’employé à Twitter, ou si cette personne interne à l’entreprise aurait été payée pour aider les véritables pirates informatiques.

Twitter confirme la piste interne

Quelques minutes après la publication de l’article de Vice, Twitter a confirmé la piste : « nous avons détecté ce que nous pensons être une attaque d’ingénierie sociale coordonnée par des personnes qui ont réussi à cibler certains de nos employés ayant accès aux systèmes et outils internes ».

Près de 12 heures après le début de cette attaque sans précédent pour Twitter, les malfaisants ont réussi à obtenir près de 12,9 BTC, l’équivalent de plus de 100 000 €. Selon les chiffres de Blockchain.com, l’adresse BTC (unique) publiée dans les différents tweets d’arnaque a recensé 376 transactions, un score qui aurait pu être bien plus important si les tweets étaient restés plus longtemps.