Twitter 2010 : tous nos vœux de sécurité
Le site de microblogging Twitter a été victime d'une récente attaque revendiquée par une certaine « Cyber Armée Iranienne ». Twitter devra démarrer cette nouvelle décennie sous le sceau d'une sécurité draconienne.
Twitter a été piraté pendant une heure. Durant ces soixante minutes, Twitter.com a redirigé, malgré lui, ses internautes vers un site pirate, placardé d'une calligraphie arabe rattachée à un groupuscule du nom de « Cyber Armée Iranienne ». Survenue le 18 décembre dernier, cette attaque a suscité plusieurs interrogations quant à la méthode utilisée.
Dans un premier temps, Twitter a supposé qu'il avait été la victime d'un détournement basé sur une attaque du DNS (ce qui semblait le plus logique sur le moment). Mais un tel détournement a immédiatement interpellé la communauté sur deux points. D'une part, les informations nécessaires aux pirates pour parvenir à réaliser un tel exploit sont nombreuses, et la manipulation assez complexe. D'autre part, Dyn, la maison mère de Twitter (connue pour l'adressage dynamique avec son site dyndns.com), démentait toute intrusion dans son système.
La messagerie d'un dirigeant piratée ?
Une seule hypothèse restait alors possible : les équipes de Twitter auraient connu une fuite. La réponse est presque là. Dyn s'est en effet aperçu que les modifications de redirections ont été effectuées directement sur l'interface Webadmin, avec un compte administrateur Twitter. On peut donc supposer que l'identifiant et le mot de passe ont été dérobés en utilisant des techniques classiques, comme celles employées par « Hacker Croll » en juillet dernier pour pirater la messagerie Yahoo! d'un dirigeant de Twitter.
Un audit de sécurité à mener de toute urgence
Au final, rien de bien méchant, puisque l'attaque n'a consisté qu'à diffuser un message d'avertissement destiné aux seuls internautes nord-américains déclarant « qu'ils pensent contrôler Internet, mais c'est faux. Nous le contrôlons et le gérons par notre pouvoir, alors, etc. » Mais Twitter est un outil par lequel transitent beaucoup d'informations. Le fait d'y accéder de cette façon prouve simplement que l'audit de sécurité lancé par le cofondateur Biz Stone cet été n'aura pas porté ses fruits. Il faudra sûrement aller plus loin dans les restrictions internes. Pas facile.
Votre opinion