Piratage de comptes X: le réseau social critiqué pour son revirement sur ladouble authentification

Les deux piratages des comptes X de Mandiant et de la SEC ont-ils un rapport avec le changement autour de la double authentification introduit par le réseau social en mars dernier? Les experts s’interrogent sur un lien, les deux hacks ayant été permis grâce à l’absence d’activation de la double authentification.

Le 3 janvier, c’est tout d’abord la société de cybersécurité Mandiant qui perdait ainsi momentanément le contrôle de son compte sur le réseau social. Puis, quelques jours plus tard, c’est la SEC, le gendarme boursier américain, qui se faisait pirater son compte, donnant à cette petite série un début de ressemblance avec la catastrophe des piratages de juillet 2020.

Ces deux piratages ont un point commun, l’absence de double authentification, une protection qui aurait pû empêcher le hack des comptes. Comme Mandiant l’a admis, la double authentification de leur compte n’était en effet pas activée, la faute à une phase de transition dans les équipes, s’est justifiée de manière laconique la filiale de Google Cloud. Selon les investigations de l’entreprise, le mot de passe a été probablement cassé par une attaque par force brute.

Affaire gênante 

Le réseau social X a également relevé l’absence d’activation de la double authentification pour le compte de la SEC. Pour l’entreprise d’Elon Musk, ce piratage est donc dû à la perte de contrôle du numéro de téléphone associé au compte. Ce qui suggère ainsi une attaque par SIM-swapping, ces détournements de lignes téléphoniques permettant de prendre le contrôle ensuite de comptes.

Si à première vue ces deux piratages pourraient poser la question de la négligence des propriétaires des comptes, l’affaire est en réalité bien gênante pour X. Après avoir sabré dans ses effectifs, dont ses équipes de sécurité, le réseau social est à la dérive depuis son rachat par Elon Musk en octobre 2022. En mars dernier, il avait rebattu les cartes autour de la double authentification.

Pour des raisons de coût, X avait alors indiqué réserver désormais cette fonctionnalité, pour celle basée sur l’envoi d’un SMS, à ses abonnés payants. Les autres méthodes d’authentification à plusieurs facteurs, via une clé de sécurité ou une application, d’ailleurs plus sûres que celles par SMS, restaient bien accessibles gratuitement.

Comptes vulnérables 

Si l’intention était compréhensible, la méthode n’était visiblement pas la bonne. Comme le remarquait ZDNET à l’époque, la firme avait en effet décidé de désactiver automatiquement sous trente jours la double authentification par SMS. Une très mauvaise façon d’opérer. Cela a certainement laissé des comptes vulnérables à des attaques par force brute, notamment les utilisateurs peu actifs, les moins à même de remarquer ce changement de politique.

Selon Mandiant, les attaquants de son compte X souhaitaient attirer des internautes vers une page de hameçonnage abritant un drainer, ces programmes malveillants qui peuvent siphonner des crypto-actifs.

Quant au piratage de la SEC, cela ressemble à une tentative de manipulation de cours particulièrement audacieuse, avec un faux tweet annonçant avec un peu d’avance l’approbation par la SEC d’un ETF boursier sur le bitcoin.