Accueil » Tous » Réseaux sociaux » Twitter » Twitter : Hacker Croll, pirate de la simplicité

Twitter : Hacker Croll, pirate de la simplicité

Il fait la Une des médias depuis quelques jours. Et pour cause : Hacker Croll est un jeune internaute français soupçonné d’être l’auteur d’un des piratages informatiques les plus marquants de 2009. Il a en effet profité de la négligence d’un administrateur de Twitter pour s’infiltrer dans le réseau social, sans ligne de code compliquée et sans logiciel malveillant. Juste en étant un peu intelligent. Autant dire que l’image d’Épinal du pirate informatique est mise à mal. Non, Hacker Croll n’a pas passé trois nuits blanches devant un écran noir bourré de caractères incompréhensibles, pour s’introduire dans l’un des sites les plus visités au monde. Il a juste enfoncé des portes ouvertes.

Repéré par le FBI, il a été arrêté mardi 23 mars dans le Puy-de-Dôme par les enquêteurs de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). Relâché mercredi 24 mars, il sera jugé le 24 juin devant le tribunal correctionnel de Clermont-Ferrand. Il n’a pas fait grand mal aux comptes Twitter piratés (dont ceux, tout de même, de Barack Obama et Britney Spears), puisqu’il n’a pas publié de faux messages en usurpant les identités. En revanche, il a téléchargé au passage des documents secrets sur la stratégie de l’entreprise Twitter, qu’il a envoyés au blogueur français Korben ainsi qu’au site spécialisé américain TechCrunch . Le préjudice serait donc relativement important.

La protection des comptes e-mail en question(s)

La méthode favorite de Hacker Croll, c’est le “social engineering” (l’ingénierie sociale, en bon français). En clair, au lieu de forcer les systèmes de sécurité, il s’appuie sur les failles humaines, comme la possibilité de réinitialiser un mot de passe en répondant à une question secrète. Cela ne lui retire pas pour autant son titre de pirate, car ce genre de pratique fait partie intégrante de l’art du piratage, la faille humaine étant souvent plus simple à exploiter que la faille informatique.

Dans le cas de Twitter, Hacker Croll s’était introduit sur le compte e-mail personnel (sur Yahoo) d’un administrateur du site. Interviewé par le site Zataz en juin 2009, Hacker Croll explique : “Yahoo demande de vérifier l’identité avant de pouvoir accéder à la question secrète. Pour cela, il demande de renseigner la date de naissance, le code postal, le pays, tels qu’ils figurent sur le compte. [...] Par chance, l’employé possédait un blog qui datait de 2002 dans lequel il racontait sa vie. [...] Pour sa question secrète, simple, c’était sa ville de naissance, Saint-Louis.” “Je n’ai jamais rien modifié, usurpé”, assure-t-il à Zataz. “J’aurais pu le faire, mais ce n’est pas mon éthique. J’aime les défis, point barre”, explique-t-il encore. À l’époque, il oubliait de mentionner ses activités annexes, de “petites escroqueries” qui lui ont rapporté, selon la police, quelques milliers d’euros.

Cet événement médiatique aura peut-être un effet positif : inciter les internautes à être plus attentifs à la sécurité de leur compte e-mail. Laisser la question de sécurité par défaut, comme “quelle est votre ville de naissance” ou “quel est le prénom de votre mère”, c’est un peu comme laisser la porte de son domicile grande ouverte… Il faut leur préférer une question à laquelle même les proches ne peuvent pas facilement répondre. Un mot de passe, dont le choix est déjà un casse-tête en soi, ne sert à rien si sa réinitialisation est trop facile.

A propos de Pirmax Le Poulpe Rouge

Amoureux de la technologie, je partage l'actualité high-tech et informatique (Apple, Twitter, Facebook, etc.) sur le média mature qu'est aujourd'hui : l'Internet. Suivez-moi sur Twitter @pirmax.