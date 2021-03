Siège social de Twitter à New York le 30 juillet 2020. | John Nacion / STAR MAX / IPx via des images AP

Graham Ivan Clark a conclu un accord de plaidoyer et purgera trois ans de prison pour son rôle dans un piratage, qui a rapporté 120000 dollars de bitcoins.





Un adolescent de Floride qui était à l’origine d’un piratage massif de comptes Twitter de célébrités en juillet dernier a plaidé coupable et purgera probablement trois ans de prison.

Graham Ivan Clark, aujourd’hui âgé de 18 ans, avait 17 ans lorsqu’il a réquisitionné certains des comptes les plus en vue de la plate-forme, y compris ceux appartenant à Elon Musk et à l’ancien président Barack Obama, et a fini par arnaquer des gens d’environ 120000 dollars en bitcoins. Les comptes vérifiés ont envoyé des tweets demandant aux abonnés d’envoyer des bitcoins à un portefeuille, leur promettant de récupérer le double de leur argent en retour. Ils n’ont pas récupéré le double de leur argent, bien que les procureurs aient déclaré que Clark avait remis le bitcoin qu’il lui restait pour payer la restitution aux victimes.

Clark a été accusé de 30 crimes liés au piratage, mais son statut de jeune délinquant lui a permis d’éviter la peine minimale obligatoire de 10 ans. Au lieu de cela, il purgera trois ans dans une prison d’État pour jeunes adultes et trois ans en probation, en supposant qu’un juge signe l’accord.

Deux autres – Mason John Sheppard, 19 ans, du Royaume-Uni, et Nima Fazeli, 22 ans, d’Orlando, en Floride – ont également été accusés par le ministère de la Justice de crimes liés au piratage. Sheppard a été accusé de trois et Fazeli a été accusé d’un. Leurs cas n’ont pas encore été résolus; L’avocat de Fazeli soutient que son client n’est pas coupable et que la seule accusation portée contre lui, pour aide et complicité, n’est pas liée aux piratages de comptes de célébrités.

Il y aura peut-être d’autres arrestations à venir; les documents de mise en accusation indiquent qu’un pirate informatique non encore identifié nommé «Kirk» «a joué un rôle central». Cela est cohérent avec les rapports antérieurs de TechCrunch selon lesquels un pirate informatique nommé «Kirk» était à l’origine de l’attaque. En septembre dernier, le New York Times a rapporté qu’un jeune de 16 ans du Massachusetts faisait également l’objet d’une enquête et que son domicile avait été perquisitionné.

Bien que les rapports initiaux indiquent que le piratage pourrait être un travail interne, étant donné le degré d’accès de l’auteur aux contrôles internes de l’entreprise, Twitter confirmé plus tard ses employés ont été visés par une «attaque de phishing par téléphone». En supposant que cela soit vrai, cela devrait servir de récit édifiant. Le spear phishing via des appareils mobiles est devenu plus courant, d’autant plus que les gens ne vérifient pas les liens sur leurs appareils mobiles comme ils le pourraient dans un message reçu sur leur ordinateur.

«Les gens oublient souvent leur téléphone parce qu’ils le considèrent plus comme un appareil personnel, pas comme un appareil de travail», a déclaré à Recode Mark Ostrowski, évangéliste de la sécurité de la société de cybersécurité Check Point, en mai dernier.

Les détails du piratage suggèrent que les employés de Twitter auraient dû pratiquer une meilleure cyber-hygiène, et les titulaires de compte eux-mêmes n’auraient rien pu faire pour empêcher ce qui se passe.

« Nous continuerons à organiser des exercices de phishing à l’échelle de l’entreprise tout au long de l’année », a déclaré Twitter dans un déclaration peu de temps après le piratage.

Les détails des documents de mise en accusation semblent montrer que trouver les pirates présumés n’a pas été une tâche difficile pour les enquêteurs. Les pseudonymes de Fazeli et Sheppard sur Discord, où ils auraient discuté de l’achat d’un accès à des comptes piratés avec «Kirk», étaient les mêmes que leurs pseudonymes sur un forum pour les personnes intéressées par l’acquisition de comptes Twitter «OG», qui sont généralement très courts (une lettre ou numéro chacun) et parmi les premiers profils créés pour le service. En utilisant les enregistrements de ce forum, les enquêteurs ont pu lier ces comptes à des adresses e-mail, des comptes Coinbase et des adresses IP, ce qui a rendu leur identification assez simple. Fazeli, par exemple, a utilisé son vrai nom dans son adresse e-mail, qu’il a vérifiée avec son permis de conduire.

Les législateurs accusent Twitter d’être laxiste en matière de sécurité

Les politiciens des deux côtés de l’allée ont eu des mots cinglants et des avertissements pour Twitter à la suite de l’attaque de la mi-juillet, qui a amené 45 comptes à demander des bitcoins à leurs abonnés, promettant qu’ils recevraient le double de leur don en retour. Le pirate a également pu accéder aux messages directs de 36 comptes et aux données Twitter de sept comptes. Mais, ont souligné les politiciens, la violation – et ses conséquences – aurait pu être bien pire, et ils ont exigé que Twitter fasse mieux pour empêcher qu’une telle chose ne se reproduise.

Le sénateur Ron Wyden (D-OR) s’est dit préoccupé par la sécurité des messages directs lors de l’attaque et a déclaré que Twitter n’avait pas fait assez pour les protéger, malgré les assurances précédentes que ce serait le cas. Dans un communiqué, le sénateur a déclaré à Recode qu’il se sentait déçu par Twitter et ses dirigeants, d’autant plus qu’ils lui avaient promis d’améliorer leur sécurité:

En septembre 2018, peu de temps avant son témoignage devant le Comité sénatorial du renseignement, j’ai rencontré en privé le PDG de Twitter, Jack Dorsey. Au cours de cette conversation, M. Dorsey m’a dit que l’entreprise travaillait sur des messages directs cryptés de bout en bout. Cela fait près de deux ans depuis notre réunion, et les DM Twitter ne sont toujours pas cryptés, ce qui les rend vulnérables aux employés qui abusent de leur accès interne aux systèmes de l’entreprise et aux pirates qui obtiennent un accès non autorisé. Bien qu’il ne soit toujours pas clair si les pirates derrière l’incident d’hier ont eu accès aux messages directs Twitter, il s’agit d’une vulnérabilité qui dure depuis bien trop longtemps et qui n’est pas présente sur d’autres plates-formes concurrentes. Si les pirates avaient accès aux DM des utilisateurs, cette faille pourrait avoir un impact à couper le souffle, pour les années à venir.

Pendant ce temps, d’autres ont tracé des lignes directes entre les menaces exposées par la brèche et la prochaine élection présidentielle. Le sénateur Richard Blumenthal (D-CT) a blâmé Twitter pour ses «défaillances répétées de la sécurité» et «l’échec de la sauvegarde des comptes» qui auraient pu causer l’incident.

« Comptez cet incident comme un quasi-accident ou une balle à travers la proue », a déclaré Blumenthal, un démocrate du Connecticut, dans un tweeter. «Cela aurait pu être bien pire avec des cibles différentes.»

Le sénateur Josh Hawley (R-MO), qui a souvent été un critique de Big Tech au cours de son court mandat à DC, a tweeté une lettre qu’il a dit avoir envoyé au PDG de Twitter, Jack Dorsey, alors même que l’attaque se déroulait.

«Des millions de vos utilisateurs comptent sur votre service non seulement pour tweeter publiquement, mais aussi pour communiquer en privé via votre service de messagerie directe», a écrit Hawley. «Une attaque réussie sur les serveurs de votre système représente une menace pour la confidentialité et la sécurité des données de tous vos utilisateurs.»

Hawley a ensuite demandé comment les comptes protégés par l’authentification à deux facteurs pourraient éventuellement être piratés, si les données des utilisateurs étaient volées, et quelles mesures Twitter prend pour empêcher les piratages au niveau du système.

Comme l’a dit le sénateur Edward Markey (D-MA), le service et ses utilisateurs ont pour la plupart esquivé une balle considérable.

«Bien que ce système semble motivé financièrement et, par conséquent, présente une menace pour les utilisateurs de Twitter, imaginez si ces mauvais acteurs avaient une intention différente d’utiliser des voix puissantes pour répandre de la désinformation et potentiellement interférer avec nos élections, perturber le marché boursier ou bouleverser nos relations internationales », a-t-il déclaré dans une déclaration à Recode. «C’est pourquoi Twitter doit divulguer pleinement ce qui s’est passé et ce qu’il fait pour que cela ne se reproduise plus.»

Quant à savoir pourquoi le compte Twitter le plus en vue et le plus influent de tous, le président Trump, n’a pas été affecté par le piratage, il est possible que son compte comporte des garanties spéciales que les autres comptes n’ont pas. Le compte Twitter de Trump a été supprimé par un employé en 2017, pour être suspendu définitivement en janvier dernier à la suite des émeutes du Capitole.

Mise à jour, 17 mars 2021, 11 h 45: Mis à jour avec le plaidoyer de culpabilité de Clark.

