J’aurai bien titré cet article « Twitter : hacké » mais comme je trouve que c’est un peu exagéré, j’ai préféré vous donner un titre plutôt soft. Mais revenons aux faits…
TechCrunch.com a publié un article le 14 juillet qui fait du bruit. Michael Arrington a reçu dans sa boîte email un zip avec 310 documents plus ou moins secrets de l’entreprise qui a créé Twitter, le service de micro-blogging bien connu. Il semble qu’un pirate se soit introduit dans le système de Twitter… A ce moment précis ça sent le 22h35 sur TF1, genre Charles Villeneuve qui nous montre Kevin, 14 ans, hacker… En fait c’est tellement bête qu’on en rigolerait presque : le pirate a trouvé un mot de passe simple d’un des cofondateurs de Twitter et il est entré tranquillement dans l’espace Google Docs de Twitter.
Avec ce passeport Google, il est ensuite allé sur Google Docs faire ses courses. Et il est revenu avec en effet des documents plus ou moins officiels, des notes de frais, des entretiens d’embauche, des documents de prospections, bref la vie de l’entreprise derrière Twitter.
Le journaliste de TechCrunch se demande s’il doit ou non publier ces documents. Environ 410 commentaires en quelques heures sur le site de TechCrunch, il n’en faut pas plus pour secouer la blogosphère… et Twitter !
Il y a cependant un peu de moral dans l’histoire, l’auteur rassure tout le monde mais glisse cependant quelques détails croustillants comme « Some documents show floorplans and security passcodes to get into the Twitter offices. We’re not going to post any of those documents…« .
Pour l’instant un article seulement a été publié par TechCrunch qui présente un projet de jeu vidéo « Final Tweet » dont le concept est franchement… pourri.
Afin de relativiser un peu, il n’y a pas eu de craquage des systèmes de Twitter ou une attaque par force brute. Il y a eu un vrai travail de recherche de la part de la personne qui est entrée dans le système de Twitter et qui se fait appeler « Hacker Croll ». En utilisant les faiblesses existantes des systèmes de Yahoo! puis ensuite de Google, il a simplement trouvé les accès pour entrer dans le système.
Au départ, c’est donc une grosse négligence des utilisateurs de base, qui avec un mot de passe commun à Twitter et à Yahoo! ont réussi à entrer dans le système. Plus grave, on imagine que ce genre d’aventure doit arriver relativement souvent mais que là, nous en entendons parler car il s’agit de Twitter.Le talent et le vrai travail du hacker Hacker Croll qui est français semble-t-il est expliqué dans cet article, où l’on peut lire (en anglais)
Hacker Croll claimed to have accessed Goldman’s Twitter password by first gaining access to his Yahoo account. « One of the admins has a yahoo account, i’ve reset the password by answering to the secret question. Then, in the mailbox, i have found her [sic] twitter password, » Hacker Croll said Wednesday in a posting to an online discussion forum. « I’ve used social engineering only, no exploit, no xss vulnerability, no backdoor, np sql injection. »
Son travail aura eu au moins le mérite de rappeler l’importance des mesures de protection dans les entreprises. L’homme est souvent le premier maillon faible dans le système.
Si votre entreprise a fait le choix de Google pour sa messagerie d’entreprise et ses documents, il serait peut-être pas mal d’aller faire un audit de votre infrastructure… Imaginez que l’on tombe sur les comptes, les messages privés, les propals commerciales, les CVs des consultants… Pensez au mot de passe du big boss, qui souvent préfère mettre alain1 ou motdepasse de peur d’oublier un vrai mot de passe comme %$2Xww42Mdq3G4@…
Bref Techcrunch fait encore le buzz. Dès qu’une entreprise devient notoire, et que ses documents sont sur le Cloud, elle est plus vulnérable qu’une petite PME au fin fond de l’Ardèche avec son armoire et ses classeurs à l’ancienne.
Une bonne leçon pour nous tous…
Est ce que la PME au fond de l’ardèche avec son armoire pourra devenir aussi important/novateur/générateur de changement que Twitter ? 🙂
et le fait de publier des informations confidentielles d’entreprise acquises illégalement ?
Allez suivre la suite des aventures sur http://www.korben.info/hack-de-twitter-la-suite.html/