« C’est un exemple fascinant de confiance mal placée », s’enflamme Dave Palmer, directeur de la technologie chez Darktrace, dans un commentaire diffusé à la suite du piratage ce matin de très nombreux comptes Twitter de personnalités et d’institutions, en France et à l’étranger. « Apparemment, des milliers de personnes et de marques à travers le monde ont donné à une application tierce la possibilité de publier leurs tweets et de modifier leurs paramètres de compte à volonté », écrit le co-fondateur de l’entreprise britannique, spécialisée dans la détection de cybermenaces. Il constate qu’il y a de toute évidence un « manque de réflexion en matière de sécurité ».

C’est en effet par le biais d'un service externe à Twitter, en l'occurrence l’app d’analyse d’audience Twitter Counter, que les pirates relayant des messages pro-Erdogan écrits en turc se sont introduits ce mercredi matin sur les comptes de diverses organisations et personnalités dans le monde, dont le ministère de l’Economie et Alain Juppé en France, ou encore Allociné, Envoyé Spécial, Amnesty International, le quotidien allemand Die Welt et le site américain Forbes (au total plusieurs milliers de comptes, selon le quotidien britannique The Guardian). Le site de microblogging a rapidement identifié l’app tierce ayant fourni la passerelle empruntée par les attaquants. « Nous lui avons immédiatement retiré ses permissions », a indiqué un porte-parole de Twitter à nos confrères d’IDG News Service, en précisant qu’aucun autre compte n’avait ensuite été impacté. De son côté, l'éditeur de l'app Twitter Counter a reconnu que son service avait subi une intrusion et assuré avoir pris des mesures pour y remédier. « Nous avons bloqué toute possibilité de poster des tweets et changé la clé de notre app Twitter », a-t-il indiqué dans un tweet.

63% des internautes ne lisent pas assez les CGU

Du côté des spécialistes en cybermenaces, on s’étonne en particulier que les équipes de sécurité des entreprises n’aient pas été impliquées dans la décision d’adopter cet outil, ainsi que le pointe Dave Palmer, de Darktrace. De son côté, Kaspersky Lab rappelle tout un chacun à la vigilance dans ses habitudes en ligne. Les utilisateurs, entreprises comme particuliers, recourent à des applications externes à un service pouvant sans le savoir « donner un contrôle absolu à un tiers », souligne l'éditeur russe. David Emm, l’un de ses chercheurs en sécurité, rappelle par ailleurs qu’il est impératif de changer immédiatement de mot de passe sur le compte piraté lorsque l’on est ainsi victime d’une intrusion.

Il insiste aussi sur la nécessité de lire attentivement les conditions générales d’utilisation (CGU) avant de télécharger une application. Or, rares sont les internautes qui prennent le temps de lire ces explications fastidieuses. Une étude récente de Kaspersky montre que 63% des consommateurs négligent de le faire sérieusement avant d’installer une application sur leur smartphone et que près de 20% d’entre eux ne lit jamais les messages lors de l’installation des apps. « Cela signifie qu'un nombre alarmant de personnes laissent leur vie privée - et les données sur leurs téléphones - exposés aux cyber-menaces en raison de mauvaises pratiques de sécurité des applications », conclut David Emm.

Twitter Counter déjà piraté en novembre 2016

Pour Twitter Counter, il ne s'agissait pas de la première intrusion subie. Il y a quatre mois à peine, le service d’analyse d’audience avait déjà attaqué, entraînant alors une série de messages usurpés émis en novembre dernier à partir de différents comptes dont, notamment, ceux de Playstation, Xbox et du footballeur Lionel Messi. A l’époque, Omer Ginor, le CEO de Twitter Counter, avait expliqué dans un billet que les assaillants avaient utilisé un mécanisme pour pirater les cookies utilisés par le site. Ils faisaient ainsi croire au système qu’ils étaient connectés en tant qu’utilisateurs autorisés à effectuer différentes actions, dont la publication de messages.