Piratage informatique : que nous apprend le "vol" des 32 millions de comptes Twitter ?

Illustration : Thinkstock/Lightcome

Comme à chaque piratage informatique de grande envergure, les rumeurs les plus étranges circulent, accompagnées de recommandations basiques et toujours identiques. Le récent piratage des 32 millions de comptes Twitter peut-il nous apprendre quelque chose ? Entretien avec Fabrice Epelboin, co-fondateur de la startup Yogosha, spécialisée dans la sécurité informatique et le "hack légal".

dans
Comment peut-on récupérer 32 millions de comptes twitter et leurs mots de passe ? A qui profite ce "crime" ? Comment faire pour prévenir ce type de piratage ? Au delà de l'aspect sensationnel de ce piratage de grande envergure — le plus important pour le réseau social Twitter — de nombreuses questions de fond sur la sécurité informatique des particuliers comme des entreprises se posent, mais sont très peu abordées. Comme s'il était devenu "normal et acceptable" que ce type de "vols" surviennent un peu plus souvent. Pourtant, la délinquance informatique coûte très cher aux pays développés, dont la France. Analyse du piratage Twitter, de ses  raisons, conséquences, et des possibilités pour prévenir ou réduire la fréquence de ce type de délits, avec Fabrice Epelboin de la startup de" hack légal", Yogosha.

Quel est votre sentiment sur ce piratage de 32 millions de comptes twitter ?
 
Fabrice Epelboin, co-fondateur de Yogosha
La première chose, c’est la prévalence des adresses russes, qui montre qu’il y a un ciblage, quelque part. La Russie c’est compliqué : ça peut aussi bien être des agences gouvernementales,  ou des officines privées travaillant pour le gouvernement russe. Il faut se rappeler qu’il y avait une vague de comptes twitter qui se moquaient de la politique russe et qui a été décimée il y a quelques mois.

L’un des moyens les plus efficaces pour faire ce genre de choses, récupérer 32 millions de comptes et mots de passe Twitter, c'est de faire du phishing (ameçonnage : piéger l’utilisateur en le faisant cliquer sur une adresse internet, ndlr) auprès d’opposants politiques. Le plus souvent c’est un faux "twitter connect", un site qui ressemble parfaitement à Twitter et où les gens rentrent leur identifiant et leur mot de passe en croyant aller sur le réseau social. Infecter des ordinateurs avec des keyloggers peut aussi très bien fonctionner. Tout ce que tapent les utilisateurs sur leur clavier est alors renvoyé aux pirates, dont les comptes et mots de passe twitter…

Il semblerait qu’un pirate, ou supposé comme tel, vende ces comptes et mots de passe pour quelques milliers d’euros sur le réseau chiffré Tor. Qu’en pensez-vous ?

Il y a un marché noir pour une très grande quantité de types de données.  Particulièrement les données personnelles. Typiquement, avec les comptes twitter, il est facile de créer un petit script qui va prendre le contrôle de comptes twitter et tweeter quelque chose à leur insu, pour par exemple faire monter un "trading topic" (un sujet chaud ). L’intérêt d’acheter des comptes est large, mais il réside surtout dans la possibilité de pouvoir contrôler des sujets et faire de l’influence.

La sécurité informatique n’est jamais fiable à 100%, mais là, on en vient à penser que c'est une" informatique passoire" qui prédomine, vous ne pensez pas ?

On est passé du petit génie en informatique dans sa chambre de bonne, qui  piratait dans son coin, à des équipes de professionnels qui ont les moyens de travailler pendant des mois sur des projets. Ca, c’est récent.  On gère désormais des projets d’attaques en ligne comme on gère des gros projets informatiques. Il y a une dimension industrielle dans le piratage informatique qui n’existait pas il y a encore quelques années. Mais dans le même temps, il y a une plus grande acuité du grand public. L’information sur le piratage des comptes Twitter va être aujourd’hui dans Télérama et Le Monde, c’était inimaginable il y a 4 ans.  Et ça va s’amplifier, puisqu’en 2018 la réglementation européenne sur les données privées va s’appliquer en France. Cette réglementation va  obliger toutes les entreprises qui ont des fuites de données personnelles de le communiquer publiquement, alors qu’aujourd’hui, tout le monde se tait.

Les médias conseillent aux utilisateurs de changer leur mot de passe, après que celui ci a été piraté. N'y aurait-il pas mieux à faire ?

A mon avis la presse n’a pas la crédibilité pour donner des leçons d’informatique à qui que ce soit. La créativité dans le domaine du piratage informatique est débordante, donc c’est vrai que se contenter de demander aux gens de changer de mot de passe, même si c’est nécessaire, n’est pas suffisant. C’est beaucoup plus complexe que ça. Aujourd’hui, l’archétype du comportement informatique, c’est "j’ai un firewall, donc ça va, je suis sécurisé". Il faudrait que le grand public sache ce qu’est vraiment une url, comment ça fonctionne, qu’on y passe des paramètres, etc. Il y a un  b.a.b.a de la sécurité informatique à faire passer au grand public.

La sécurité informatique est peu abordée en France, et seulement médiatisée quand elle est « spectaculaire » : que faudrait-il faire pour pallier cet état de fait ?

L’Etat est un peu en conflit d’intérêt dans cette histoire, parce que d’un côté il tire parti de l’insécurité informatique pour faire de la surveillance, et de l’autre côté, l’insécurité informatique pèse quasiment 1 point de PIB aujourd’ hui. C’est donc  un vrai problème économique.  J’aurais tendance à penser que c’est du ressort de l’Education nationale. Il faut former des enseignants au b.a.b.a de la sécurité informatique, intégrer ça dans des programmes de BEPC et faire des MOOC (massive open online course, formation en ligne ouverte à tous). Ce serait très facile de faire ça, de la 6ème à la 3ème, et de faire passer l’équivalent d’un code de la route pour ces b.a.b.a de sécurité informatique.  Toutes ces formations auraient vocation à être mises à jour, et avec les MOOC, les entreprises pourraient en profiter facilement.  si le tout était validé par l’Etat, ce serait encore plus facile à généraliser.