Piratage de Twitter : Kaspersky appelle à maximiser la protection des comptes dans les réseaux sociaux

Kaspersky

Plusieurs comptes Twitter de premier plan, y compris ceux de l’ancien vice-président Joe Biden, de l’ancien président Barack Obama, du PDG de Tesla Elon Musk et du co-fondateur de Microsoft Bill Gates, ont été compromis, la semaine dernière, dans ce qui semble être l’attaque la plus importante jamais réalisée sur le système de sécurité de Twitter et a peut-être déjà coûté aux utilisateurs des dizaines de milliers de dollars. A cet effet, Kaspersky apporte son éclairage.

L’affaire a secoué le réseau social Twitter, entraînant le vol de plus de 100 000 euros en bitcoins, dans ce qui s’apparente au plus gros détournement de l’histoire de ce réseau, qui semble avoir identifié l’origine du piratage : une attaque par ingénierie sociale contre ses services, selon toute vraisemblance.

Pour Kaspersky, « cette escroquerie majeure souligne le fait que nous vivons à une époque où même les personnes ayant des compétences informatiques peuvent être attirées dans le piège des escrocs, et où même les comptes supposés les plus sécurisés peuvent être détournés ».

L’entreprise estime qu’en deux heures seulement, au moins 367 utilisateurs ont transféré environ 120 000 dollars au total aux escrocs.


Ce géant de la cybersécurité considère celle-ci comme étant l’une des principales priorités de toutes les grandes plateformes de médias sociaux, qui s’efforcent de prévenir de nombreuses attaques chaque jour. Toutefois, aucun site web ou logiciel n’est invulnérable, et l’humain n’est jamais à l’abri d’erreurs. Par conséquent, toute plateforme peut être compromise.

→ Lire aussi : Les hackers ont “manipulé” des employés de Twitter pour accéder aux comptes de célébrités

D’ailleurs, les escroqueries exploitent désormais des techniques éprouvées et efficaces, pour utiliser un élément de surprise et gagner la confiance des gens, afin de faciliter l’attaque et d’attirer les victimes dans un piège.

Par exemple, il peut s’agir d’un mélange d’attaques de la chaîne d’approvisionnement et d’ingénierie sociale. Cependant, les auteurs de l’attaque peuvent également accéder au compte de la victime par d’autres moyens : par exemple, ils peuvent pénétrer dans une application tierce ayant accès au profil de l’utilisateur, ou le mot de passe de l’utilisateur peut être obtenu par la force.


Selon Pierre Delcher, expert en cybersécurité chez Kaspersky, « inutile de paniquer, il s’agit simplement d’adopter l’état d’esprit adéquat : les utilisateurs de comptes de médias sociaux doivent faire preuve de responsabilité – en particulier lorsqu’ils sont des personnalités publiques – et ont besoin d’une protection approfondie, mais ce type d’attaque n’est pas irrémédiable ».  Et d’ajouter : « cet incident souligne une nouvelle fois que les utilisateurs doivent réévaluer leur approche d’usage des médias sociaux, et prendre conscience du haut besoin de sécurité pour leurs comptes, comme pour tout autre élément de leur vie numérique. Une fois ceci considéré, il est plus naturel d’acquérir les connaissances et instruments nécessaires à reconnaître même l’escroquerie la plus élaborée, ou à en minimiser l’effet ».

Dans ce cadre, Kaspersky dresse la liste des éléments permettant de reconnaître une escroquerie dans les médias sociaux, à savoir, le caractère d’urgence, une apparence de légitimité, les criminels peuvent même aller plus loin et illustrer l’escroquerie avec une charte graphique d’apparence authentique, ou utiliser des contrefaçons. De plus, le contexte financier est généralement plus transparent et n’est pas lié à des portefeuilles privés de bitcoins.

Dans son commentaire sur ce sujet, Kaspersky appelle également à maximiser la protection des comptes dans les réseaux sociaux, notamment, à travers un mot de passe solide, une authentification à deux facteurs lorsque c’est proposé (le login et le mot de passe doivent alors être complétés par un autre élément) et l’examen approfondi et régulier des applications qui ont accès aux comptes de réseaux sociaux.

Il recommande ainsi de révoquer l’accès de toutes les applications inutilisées, inconnues ou dont le niveau de sécurité n’est pas considéré suffisant, de sorte qu’en cas d’attaque de ces dernières, votre compte ne puisse pas être atteint.


Pour les comptes de réseaux sociaux de personnalités ou entreprises peuvent être utilisés ou maintenus par plusieurs individus. « De tels comptes doivent alors être régulièrement l’objet d’une revue, et les accès inutiles ou obsolètes doivent être révoqués : les mots de passe d’accès aux comptes doivent notamment être renouvelés en cas de départ ou de changement dans l’équipe animant les réseaux sociaux », explique Kaspersky.