LifeTech & internet

Piratage du Twitter d'AP: vous auriez cliqué sur le lien dans ce mail?

Will Oremus, mis à jour le 24.04.2013 à 10 h 25

Le compte d'Associated Press a été piraté. Vous auriez su qu'il ne fallait pas cliquer sur ce mail des hackers?

Keyboard / Robsmits via Flickr CC License By

Keyboard / Robsmits via Flickr CC License By

Hacker un compte Twitter important, comme celui dont se sert l’Associated Press pour diffuser des informations à ses 2 millions d’abonnés, semble difficile. Apparemment, ça ne l’est pas.

En tout cas, ça ne l’est pas pour un groupe de hackers qui se fait appeler l’Armée Electronique Syrienne (SEA) et a revendiqué le piratage du compte Twitter d’AP ce mardi 23 avril. La SEA, qui semble être pro-Assad bien qu’elle dise ne pas être affiliée au gouvernement, enchaîne les piratages réussis à un rythme alarmant ces derniers mois.

Et la liste des victimes, élaborée par Reuters, ressemble à celle des organisations médiatiques en langue anglaise les plus crédibles et influentes: la BBC, NPR, 60 minutes de CBS, Reuters, et maintenant AP. (La SEA ne s'arrête pas à la langue anglaise, puisqu'elle avait également revendiqué le piratage du compte Twitter de l'AFP en février, NDT.)

On ne pouvait pas immédiatement savoir si les hackers avaient obtenu le mot de passe d’Associated Press en installant un maliciel enregistreur de frappe sur les ordinateurs d’employés, ou en les dupant pour qu’ils entrent leur mot de passe sur un faux site.

Mais un mail interne d’AP, posté sur le blog média de Jim Romenesko, nous donne une bonne idée de la façon dont ils pourraient avoir mis un pied dans la porte: du hameçonnage ciblé, soit le fait de cibler des personnes spécifiques avec des emails qui semblent légitimes et sont créés pour les faire lâcher des informations importantes.

Dans ce cas précis, plusieurs employés d’AP ont reçu un email peu de temps avant le piratage, qui semblait provenir d’un de leurs collègues. Voilà à quoi il ressemblait, d’après la source de Romenesko :

Envoyé : Mardi 23/04/13 12 :12

De : [Un employé d’AP]

A : [Un employé d’AP]

Objet : Infos

Bonjour,

Merci de lire l’article suivant, c’est très important :

http://www.washingtonpost.com/blogs/worldviews/wp/2013/04/23/

[Un autre employé d’AP]

Associated Press

San Diego

[Numéro de portable]

Voyez comme il lui manque la plupart des signes évidents d’une arnaque. Le champ expéditeur ne contient pas un nom inconnu, mais celui de quelqu’un que vous connaissez et avec qui vous travaillez. Le sujet est générique, mais c’est aussi un sujet auquel les employés d’AP sont constamment attentifs : l’information. Et le lien hypertexte semble légitime, on croirait qu’il renvoie vers le blog de Max Fisher, World Views, sur le site du Washington Post.

Est-ce que vous cliqueriez sur le lien si cet email atterrissait dans votre boîte mail au milieu d’une journée de travail intense? Probablement pas, n’est-ce pas? Mais si vous étiez distrait –si le nom dans le champ «de» était celui d’un ami de votre patron–, si vous étiez pressé, est-ce qu’il n’y a pas peut-être au moins une chance pour que vous cliquiez avant de prendre un moment pour y réfléchir? Et quand vous prenez en compte le fait que cet email a probablement été envoyé à différentes personnes d’AP en même temps, il y a de bonnes chances qu’au moins une ou deux ait cliqué.

Autrement dit, vous pouvez dire que c’est la faute d’AP si ça vous fait plaisir, mais si la SEA a pu pirater son compte grâce à du hameçonnage ciblé, ce qui lui est arrivé pourrait se produire avec à peu près n’importe quelle autre organisation. Chet Wisniewski, de l’entreprise de sécurité Sophos, m’a dit que l’attaque montre à quel point Twitter a besoin de proposer une authentification en deux étapes, et il semble probable que l’entreprise y travaille.

Mais oublions Twitter une seconde. L’autre conséquence à tirer de ce piratage est à quel point un hameçonnage ciblé bien effectué peut être efficace. Tout le monde sait qu’il faut éviter les emails de princes nigérians. Aujourd’hui, la plupart des gens savent qu’ils doivent se méfier de messages Facebook ou Twitter de leurs amis disant des trucs du style «lol té célèbre maintenant».

Désormais, il semble que nous devons également faire attention aux emails professionnels de collègues, sans fautes d’orthographe, avec une ponctuation correcte, portant sur un sujet logique et plus généralement plausibles, bien qu’un peu vagues. Bonne chance tout le monde!

Will Oremus

Traduit par Cécile Dehesdin

Will Oremus
Will Oremus (151 articles)
Journaliste
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte