Comment les pirates d’OurMine ont-ils hacké les comptes des patrons de la Silicon Valley ?
Comment les pirates d’OurMine ont-ils hacké les comptes des patrons de la Silicon Valley ?
Par Florent Bascoul
Le collectif enchaîne les piratages sur les réseaux sociaux, mais des doutes ont émergé quant à ses compétences réelles.
Les pirates informatiques du groupe OurMine ont hacké les comptes Twitter et Vine de Jack Dorsey, directeur général de la célèbre plate-forme de microblogging. | Capture
Les pirates informatiques du collectif OurMine ont, en l’espace de plusieurs semaines, réussi à prendre brièvement le contrôle des comptes sur les réseaux sociaux d’une dizaine de patrons des plus grosses entreprises technologiques américaines.
Tout a commencé le 5 juin, lorsque les comptes Twitter et Pinterest de Mark Zuckerberg, patron de Facebook, ont été piratés par le collectif. Entre-temps, OurMine s’est doté d’un site Internet et a lancé une série d’attaques.
Parmi ses victimes figurent quelques blogueurs et acteurs, mais surtout des dirigeants de sociétés de la Silicon Valley. Daniel Ek (Spotify), Sundar Pichai (Google), Travis Kalanick (Uber), Marissa Mayer (Yahoo !) et plus récemment Jack Dorsey (Twitter) ont vu leurs comptes personnels afficher un message pointant leur faible sécurité informatique. Les utilisateurs étaient redirigés vers le site où OurMine propose des audits des sites Internet et des comptes sur les réseaux sociaux de particuliers et d’entreprises, moyennant paiement de quelques dizaines à plusieurs milliers de dollars.
Mystère sur l’identité des pirates
Qui sont ces pirates aux méthodes publicitaires pour le moins agressives ? Interrogés par Wired, ils affirment être trois et ne pas être animés d’intentions malveillantes, mais vouloir sensibiliser à la sécurité informatique et améliorer les protections à disposition des internautes :
« Nous ne faisons rien de mal, nous essayons juste de dire aux gens que personne n’est à l’abri sur [le Net]. »
Selon eux, la seule façon d’alerter les grandes firmes du Web sur les failles est de procéder au piratage des comptes de personnalités :
« [Ces grandes firmes] nous auraient ignorés si nous nous étions contentés de le leur dire. Nous devions le leur prouver. »
Les pirates assurent avoir amassé la somme de 18 500 dollars (16 700 euros) grâce aux commandes d’audits qu’ils ont reçues après leurs coups médiatiques. Pourtant, la copie d’écran de leur compte PayPal, qu’ils ont fournie à Wired, s’est révélée être un faux, après une rapide enquête menée par le site spécialisé.
« Nous ne faisons pas ça pour l’argent, ont-ils encore expliqué à “Wired”. Nous ne faisons que vendre un service à un moment où beaucoup de personnes sont intéressées par des audits. »
La nationalité de ces pirates informatiques reste inconnue, même si Wired a relevé de nombreuses erreurs d’anglais dans leurs messages.
Ingéniosité
Malgré cet impressionnant tableau de chasse, les experts informatiques qui se sont penchés sur les modes d’action de ce collectif estiment que leurs capacités techniques sont peu développées et que leurs coups d’éclat sont davantage liés à leur ingéniosité.
OurMine a ainsi publié ce qu’il présentait comme des captures d’écran du système d’administration de Vine – une application permettant de mettre en ligne de courtes vidéos –, sur lequel apparaîtraient des mots de passe. Une pièce censée prouver le manque de sécurité du réseau social ainsi que la capacité du collectif à pénétrer dans son système informatique.
OurMine a publié une copie d’écran dont la véracité est remise en question pour expliquer le piratage du compte de Jack Dorsey. | Capture
Or Michael Coates, responsable de la sécurité de Twitter, a assuré que le code d’accès au compte n’était en aucun cas visible dans la véritable interface d’administration de Vine. Il a également dit qu’elle était protégée par un dispositif de sécurité, qui n’apparaît justement pas sur la capture d’écran d’OurMine, ce qui accrédite un peu plus l’hypothèse d’un faux.
Re: OurMine allegations about Vine passwords: the admin site is restricted to Twitter IPs, is https, and never shows passwords in any form.
— _mwc (@Michael Coates ஃ)
Par ailleurs, pour pirater les patrons de Facebook et de Google, les membres du collectif n’ont pas eu à faire appel à des compétences techniques poussées : le mot de passe du compte de Mark Zuckerberg se trouvait dans la base de données volée à LinkedIn en 2012. C’est aussi en retrouvant un vieux mot de passe, toujours actif, dans une base de données qu’ils sont parvenus à publier des messages sur le compte Twitter du patron de Microsoft.
Comment éviter les intrusions ?
Il est possible de paramétrer certains sites pour mettre en ligne des messages sur Facebook ou Twitter. Si un pirate parvient à s’y connecter, il peut alors diffuser, à partir de ces sites tiers, des messages sur les réseaux sociaux. C’est ce qui est arrivé au patron de Google : ses tweets ont été publiés de Quora, un service de questions-réponses en ligne.
Pour éviter cette déconvenue, il est conseillé de protéger son accès à ces services tiers autant que son accès aux réseaux sociaux sur lesquels ils permettent de publier des messages, c’est-à-dire utiliser des mots de passe robustes et en changer régulièrement.
Cette dernière précaution permet également d’éviter que de vieux codes d’accès, se retrouvant dans la nature à la faveur d’une fuite de données, puissent être réutilisés, comme dans le cas de Mark Zuckerberg.