Être le big boss de Twitter et se faire hacker son compte Twitter, c’est quand même un comble. D’autant que ce n’est même pas la première fois que cela se produit. Vendredi soir, les 4,2 millions de followers du compte du CEO Jack Dorsey ont donc pu assister à un bref moment de vandalisme, les pirates postant des messages racistes et néonazis et des liens vers leur chaîne sur le service de discussion Discord.
La gloire n’a duré que quinze minutes pour ces hackeurs du groupe Chuckling Squad, qui ont été promptement été éjectés du compte et bannis de Discord. L’attaque en elle-même relève plus du trolling que de la recherche de profits — d’autres pirates ont pu prendre le contrôle de comptes Twitter influents pour y promouvoir des fraudes sur des cryptomonnaies. Mais l’incident souligne à quel point il peut être facile de prendre le contrôle d’un compte sur les réseaux sociaux, y compris celui du patron.
Techniquement, Chuckling Squad n’est pas rentré en force dans le compte même de Dorsey. Le collectif a pris un chemin détourné via le service Cloudhopper, acquis par Twitter en 2010. Celui-ci permet de poster un tweet en écrivant un SMS à un numéro donné. Pour tweeter via Cloudhopper, pas besoin donc de réentrer son mot de passe Twitter à chaque fois. Il suffit de se munir de son propre numéro de téléphone… ou celui de quelqu’un d’autre. C’est là qu’entre en jeu une technique bien connue du piratage de comptes : le « SIM swapping ».
https://twitter.com/TwitterComms/status/1167591003143847936
Usurpation de carte SIM
Le piratage de carte SIM consiste à convaincre un opérateur télécom d’assigner le numéro de téléphone de la victime à une carte SIM en possession de l’attaquant. La procédure implique généralement de l’ingénierie sociale, en allant manipuler des employés humains de l’opérateur. Le SIM swapping sert essentiellement à contourner l’authentification à deux facteurs (2FA) utilisée pour sécuriser les comptes.
Les dégâts concrets causés à la victime peuvent aller de l’embarrassant — comme la fois, en 2017, où le compte Instagram de la chanteuse Selena Gomez s’était mis à poster des photos érotiques de son confrère Justin Bieber — au très problématique — tel le cas en 2018 d’un investisseur qui avait poursuivi l’opérateur AT&T en justice après s’être fait volé 23,8 millions de dollars en cryptomonnaie.
Peu de méthodes fiables pour se prémunir
Le groupe Chuckling Squad s’est fait une spécialité dans ce genre d’attaque. Celui-ci a piraté les comptes d’une dizaine d’influenceurs sur les dernières semaines, sans but explicite mis à part celui de semer un chaos temporaire en postant des messages offensants. Le collectif semble avoir une astuce particulière pour s’attaquer aux clients de l’opérateur américain AT&T, qui est aussi celui de Jack Dorsey.
Malheureusement, il y a peu de méthodes fiables pour se prémunir contre une usurpation de carte SIM, car le maillon faible est du côté des opérateurs. Le mieux que l’on peut faire est de passer à une forme plus sophistiquée d’authentification à double facteur : via une application comme Google Authenticator ou Authy, ou encore une clé physique de type YubiKey ou Google Titan.
Pour aller plus loin
Clé Titan vs Google Authenticator : que choisir pour sécuriser sa vie numérique ?
Des invités passionnants et des sujets palpitants ! Notre émission UNLOCK est à retrouver un jeudi sur deux en direct, de 17 à 19h sur Twitch. Pensez aussi aux rediffusions sur YouTube !
Par simple curiosité, t'habites où ? t'as pas les coordonnées GPS ? ^^
"Le mieux que l’on peut faire est de passer à une forme plus sophistiquée d’authentification" , hum..... le mieux que l'on peut faire LORSQU'ON EST UNE PERSONNE CELEBRE OU QUI A BEAUCOUP D'ARGENT... plutôt non. Parce que si j'avais un compte tweeter, personne me mettrait autant d'effort à pirater le mien.
en action chez Apple et samy<blockquote></blockquote> (ok on clos là la discussion )
Merdasse, encore emmêlé les pinceaux !
ah bon ! y'a rien !!! mais et les 30 000 euros alors ? Pffff encore un décroissant.... ^^ (ok on clos là la discussion : qui était une blague hein, collègue ? )
et même si je te les donnais , tu ne pourrais rien en faire nul besoin de crypto bidule ou face ID 3D et mobile bardé de securité Ma banque m'appellerai car il n'y a rien sur mon compte , donc il serait bloqué rapidement et je serai remboursé de la transation frauduleuse allez bonne journée
Non ça c'est le mien
non non, mais si tu insistes, parce que c'est toi, je veux bien ton RIB et un exemplaire de ta signature s'il te plait.
curiosité? veut tu egalement mon numero de secu et carte vital?
Menteur !!! je viens de te hacker. Ton code CVV est 205 !
Menteur !!! je viens de te hacker. Ton code CVV est 205 !
Au contraire, le but est de changer la carte SIM active du numéro, de la carte SIM du vrai propriétaire à la carte SIM du hacker
tout cela est juste un pied de nez montrant que vos données numerique dans vos mobiles coffrefort et 3dID, sont plus fragiles et moins fiables que les 30 000 euros en coupures cachées dans mon poulailler ( 2eme rayons, sous les oeufs a louisette et coriquette) au fond de la cour😂
Comment deux numéros identiques arrivent ils à fonctionner en même temps sur deux smartphones différents ? Quelque chose m'échappe
Donc un groupe réussit à récupérer mes infos de carte bancaire, y compris le code à trois chiffres (634 pour ceux qui ne le connaissent pas encore). Ensuite, ils parviennent à persuader Orange d'affecter mon numéro sur une carte SIM en leur possession. Ensuite quoi, il y a deux cartes SIM dans la nature avec mon numéro, s'ils tentent de commander une pizza sur le net avec, je vais aussi recevoir le code par SMS. Oui? Non? Donc ça va m'alerter, donc je vais appeler le FBI, et donc Ethan Hunt va intervenir. Right?
ah l'afrique ! ce n'est pas de là que partent les 'phonings' pour piller les comptes des petits europeens ?😂
pas un utilisateur android, il mange des pizzas, pas des pommes. maintenant oui, le FBI doit s'inquiéter
Donald est vent debout contre ce type de message ! Je l'ai donc signalé à la modération et paf !
En effet , en cas de perte ou de changement de sim avec le même numéro, l'ancienne sim est désactivée. Alors je ne comprends pas pourquoi la victime ne s'en est pas rendu compte. Bizarre
En fait la faille est au niveau des réseau téléphonique il semblerait. C'est bel et bien arrivé avec le fameux gogole hackeur Ulkan ou Ulcan, Il réussissait a avoir le numéro de ses cibles (soit pour leur commander nombre de pizza, soit pour appeler la police avec en faisant croire qu'il était armé et devenu fou pour faire débarquer les flics chez ses cibles). Je parle bien de la France. Ça semble relativement facile a faire quand on dispose du logiciel adéquat. Peut être corrigé maintenant.
Aux Etats Unis, je ne sais pas pourquoi, mais apparemment il est plus facile d'usurper le numéro de téléphone d'un autre. Cf les multiples cas de swatting
Pas dit car c'est de la programmation hors nous en France comme le dit @moltes l'opérateur ne rentre pas dans ces combines et envoi une nouveau TITULAIRE de l'abonnement et non pas à un type sorti de nulle part
Toutafé !
Vivement donc l'eSim!
Il me semble que ce genre de chose n'est pas possible en France !? Un opérateur français n'assignerait pas le numéro à une autre SIM, mais enverrai une nouvelle, me semble t'il.
"à une forme plus sophistiquée d’authentification à double facteur : via une application comme Google Authenticator ou Authy, ou encore une clé physique de type YubiKey ou Google Titan." Encore faut il que le service le propose ! Exemple Amazon qui bien qu'autorisant les applications d'identification, force d'abord l'envoi par SMS !!! Il n'est d'ailleurs, selon ce que j'ai pu voir, pas possible de désactiver l'authentification par SMS pour forcer vers une application d'authentification !!! (Je parle pour la France, je ne sais pas comment ils font ailleurs). Idem pour PayPal !
Twitter, quelle inutilitée.
C'est pas chez moi en Afrique qu'ils réussiraient leur exploit étant donné que ce service de SIM est inexistant ! L'ère du dinosaure est peut-être un peu plus mieux qu'on ne l'aurait fait croire
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix