Cette nuit, le compte Twitter du Monde était piraté par l'Armée électronique syrienne qui en a profité pour diffuser des messages de propagande. Un peu plus d'une heure plus tard, le compte était suspendu. L'aboutissement d'une série d'attaques visant le quotidien français.
En début de semaine, le Monde déjoue (partiellement) une attaque par phishing
Hier, Le Monde publiait un long et intéressant billet afin d'expliquer comment le journal avait été « piraté par l'Armée électronique Syrienne ». L'histoire commence dimanche 18 janvier par une vague d'envoi de mails de phishing visant certains journalistes, le but étant de récupérer identifiants et mots de passe.
Pour nos confrères, le but de la manoeuvre est clair : « une information précise les intéressait : le mot de passe du compte Twitter du Monde.fr et ses plus de 3 millions d'abonnés. Leurs cibles initiales ne laissent guère de doute : il s'agit de journalistes disposant des codes d'accès aux réseaux sociaux et de journalistes haut placés dans la rédaction ». De plus, au moins une boite mail a été forcée afin d'envoyer le message suivant à une personne disposant effectivement du précieux sésame : « Je ne peux pas vous connecter à Twitter, c'est le mdp ? ».
Si l'attaque a donné des résultats, le mot de passe du compte Twitter n'avait pas été récupéré. Le journal annonce en effet que, « malheureusement pour les pirates, les équipes du Monde.fr, conscientes des risques, n'avaient jamais échangé de mots de passe par courrier électronique ni messageries instantanées ». Et au final, si le groupe de pirates a réussi à créer des brouillons dans l'interface de publication, cela n'est finalement pas allé plus loin puisque « une heure plus tard, le constat est rassurant : aucun faux article n'a été mis en ligne, grâce à un mécanisme de sécurité interne qui a fonctionné. »
Si l'équipe n'a pas précisé de quel type de mécanisme il s'agit, elle indique que suite à ces tentatives elle a fait l'objet d'une série d'attaques par déni de service, mais que tout était rentré dans l'ordre hier matin et qu'une plainte allait être déposée. Fin de l'histoire ? Pas tout à fait.
Dans la nuit, le compte Twitter du Monde se fait pirater
Dans la nuit, des pirates se revendiquant comme étant de l'Armée électronique Syrienne ont finalement pris possession du compte Twitter du Monde (plus de 3,3 millions d'abonnés) et ont publié un premier message de propagande à 00h38, suivit par un deuxième à 1h03, avant que la cadence ne s'accélère.
Il faudra alors attendre 1h36 pour que les tweets soient effacés, du moins en partie. En effet, si les messages de propagande ont disparu, la description du compte indiquait alors toujours « Bienvenue sur le fil d'actualité du Monde.fr. Compte piloté par @Official_SEA16 (juste pour l'instant) » et un RT douteux trainait également selon nos constatations :
Dans la foulée, Michaël Szadkowski (rédacteur en chef adjoint des Internets du Monde), indiquait que le groupe était « au courant du piratage » et qu'il prenait « les mesures nécessaires ». Cela n'empêche pas les pirates de reposter des nouveaux messages, avant que le journal ne prenne une décision plus radicale : couper le compte. Quoi qu'il en soit, le retour à la normale était annoncé à 3h44 ce matin. Notez que, pendant ce temps, le compte Facebook du Monde n'a subi aucune perturbation.
Nous avons suspendu temporairement @lemondefr pour éviter de nouveaux posts par les hackeurs. Work in progress pour résoudre le problème.
— Michaël Szadkowski (@szadkowski_m) 21 Janvier 2015
Le Monde n'a pour le moment donné aucune explication sur la manière dont les pirates ont pu récupérer les informations de connexion. Dans un court papier publié ce matin, il est simplement précisé que « les pirates ont en effet récupéré le mot de passe et révoqué tous les accès : il est impossible de supprimer les messages ou de changer à nouveau le mot de passe ». Avant d'ajouter qu'« une plainte sera déposée dans les prochaines heures, notamment pour intrusion et maintien frauduleux dans un système informatique ».
La gestion des comptes Twitter doit-elle être renforcée ?
Une prise de contrôle qui soulève une question qui reste malheureusement toujours sans réponse : quand est-ce que Twitter se décidera-t-il a proposer des outils de gestion plus avancés pour les comptes gérés par plusieurs personnes et à renforcer ses procédures de sécurité, comme peuvent le faire Facebook ou Google ? L'histoire a en effet tendance à se répéter au fil du temps. On se souviendra du piratage du compte d'Associated Press là encore suite à une vague de phishing, de celui de la Fox ou bien du cas d'Auchan.
Dans le cas du Monde, mais aussi de nombreux autres groupes, plusieurs community manager se relayent afin d'animer le compte tout au fil de la journée. Problème, il n'existe pas de manière simple de partager un accès : il faut obligatoirement s'échanger le mot de passe du compte qui ne peut être officiellement administré que par un seul utilisateur, ce qui est tout sauf pratique.
Une solution déjà exploitée sur Facebook et Google+ permet d'associer des tiers et de leur attribuer des droits, ou de les révoquer d'un simple clic. C'est d'ailleurs aussi une solution exploitée par... Twitter, mais uniquement pour la gestion des comptes publicitaires. Car c'est vers là que vont depuis quelques temps tous les efforts du service. Il aura ainsi fallu attendre l'année dernière pour voir débarquer la connexion en deux étapes, il n'y a toujours pas de système d'alerte par mail ou de liste des dernières connexions avec possibilité de révoquer une session, etc. Il serait temps qu'un réseau social d'une telle importance prenne enfin sérieusement la question en main.
Commentaires (60)
Il ne fallait pas fanfaronner ^^
Le MDP entre FB et Twitter semble différent, c’est déjà pas mal.
Après pour l’identification plus sécurisé sur Twitter, je doute que cela change quelque chose. Tant que les gens se font avoir avec du bon vieux phishing , tu ne pourra jamais combler la faille de l’ICC.
Non, c’est juste qu’une page Facebook, ce n’est pas un compte Facebook. Donc il y a des mots de passe personnels, protégés par différents systèmes mis en place par Facebook, l’accès à la page étant administré. Sur Twitter, une page ou un compte c’est pareil, et la sécu, c’est encore assez basique comme le prouvent toutes ces prises de contrôle.
Ils recrutent au berceau dans l’armée Syrienne ou c’est moi qui prend de l’âge !
" />
En plus tout content de déclarer le contrôle du compte “pour l’instant”
Très bon article, merci
Il n’y a pas des services comme Hootsuite qui permettent justement l’utilisation collaborative de Twitter ?
Jamais compris . l’armée electronique syrienne ce sont les “rebelles” ou ceux de bacchar ? Je vois pas ce que ça leur apporte si c’est le gouverment. Surtout pour foutre un message blanc sur noir comme Daesh.. Dans leur langue si c’était le gouvernement ils auraient au moins foutu en anglais pour que les gens comprennent plus facilement
Je suis partie voir leur twitter et c’est plutôt l’apologie de Bashar Al Assad.
Mais en même temps on dirait plus un compte parodique qui vente ses exploits sous couverture de l’armée Syrienne que d’une agence secrète…
Bah ça change quoi in fine ? Tu déportes juste le problème, il faut que tout le monde puisse avoir accès au mot de passe pour activer l’accès à son compte Hootsuite. C’est à Twitter d’implémenter la gestion de compte partagée et de proposer des outils afin d’en assurer au mieux la sécurité.
Il ne fallait pas mettre LeMonde1 comme mot de passe de compte Twitter 
" />
Un groupe qui se dit Syrien et non affilié aux terroristes… Franchement si c’est vrai, ils ont pas mieux à faire en ce moment là-bas ?
Pour se transmettre des mots de passe différents par mail on peut imaginer une sorte de code récurrent type : mot de passe global + code en rapport avec le site (2 premières lettres et 2 dernières lettres du nom du site par exemple) + variable. Et ensuite ne s’échanger que la variable, inutilisable seule. Bon évidemment ça comporte de gros risques aussi si le tout est découvert.
Qaund est ce que tous ces sites proposeront de la double authentification de type secureId ? Je comprends tjs pas pourquoi aujourd’hui, ni Twitter, ni Facebook, ni Paypal, ni même ma foutue banque n’instaurent pas ce service (pour twitter te facebook on peut l’envisager que sur les gros comptes évidemment).
Les seuls qui ont de l’avance là dessus c’est google.
mais mais espèce d’enfoiré c’est ma clé windows
" />
Secureid tu veux parler dun code a donner quand tu te connecte a ton compte ? , steam le fait quand tu as une nouvelle IP. Microsoft outlook aussi et yahoo , il n’y à pas que Google, et secureip j’ai même mon mmo qui le fait .
C’est tout pourri comme méthode.
Aucun rapport, là il s’agit de personnes soutenant Bachar, épicétou
Pas de double authentification sur Twitter ?
il y a bien une double authentification sur twitter non ?
et plutôt que d’avoir un mot de passe en commun que tout le monde se passe pourquoi ne pas utiliser une yubikey avec stockage du mot de passe sur la clé (tout en gardant une double auth ?)
La double auth est liée au mobile. Super pratique pour un compte partagé…
Il est loin d’en être à son coup d’essai, c’est peut-être le moins pire des deux dernières semaines.
Pourquoi parler piratage alors que c’est juste avoir mis le bon mot de passe du compte Twitter par chance ou pas.
Dans le cas présent, c’est juste une usurpation d’identité !
et alors rien n’empêche de faire un dev qui va redispatcher les sms vers un site qui utiliserai une auth matériel et mot de passe.
Pour un site sensible comme lemonde c’est faisable je pense et ça éliminerait pas mal de risques.
C’est bien tout souligne bien le vrai problème. Le compte ne devrais pas être partagé.
Ce n’est de toutes façons pas la philosophie de Twitter…
Twitter concentre ses efforts sur la pub parce qu’ils ont quelques petits soucis financiers… Mais quand ça ne sera plus trop préoccupant, je suis sur qu’il se concentrons sur la qualité de leur service :)
En tout cas, ils tournent apparemment sous une distrib linux basée sous Ubuntu , SEANux. qui est proposée au téléchargement sur leur site.
En attendant, sea.sy semble être hébergé à Moscou…
N’empêche que c’est putain de dangereux terroriste quand même. Wahou ils ont usurpé une identité et mis des messages sur Twitter. On aurait presque peur dis donc.
Ca fait un peu “piratage” de collégiens là quand même.
Ou alors juste administrer via un tse/citrix qui pilote une session web à l’interne d’un serveur du monde ainsi il est possible de bloquer un cpte utilisateur seul?
Les deux sont des attaques mais potentiellement à portée limitée en effet.
Le DOS s’il bloque des infrastructures est un poil sérieux néanmoins.
Et d’un point de vue politique assimilable à une manifestation avec sitting quand il est pratiqué type anonymous.
Le défaçage d’un point de vue politique est assimilable à un graphiti ou une action médiatique type femen, act up etc.
les deux relèvent d’une certaine agressivité, au moins symbolique, vers la cible.
C’est vraiment la guerre du pauvre et des misérables, ces batailles de comptes et de défaçage…
Je comprends même pas pourquoi on en parle, en fait.
Les images postées cette nuit qui montraient un pantin manipuler des moutons avec écrit “je suis charlie” c’était dû au piratage ça aussi ?
J’trouvais ça bizarre venant de “Le monde”
Peut être le plongeon de la bourse de NY quand le compte twitter piraté d’associated press avait annoncé deux explosions à la maison blanche?
Edit : cramé par Nikodym![
un premier message de propagande à 00h38, suivit par un deuxième à 1h03, avant que la cadence ne s’accélère.
je peux avoir le message en question pour me faire ma propre opinion ? Sans cela, ce torchon de propagande ne peux servir que de torche cul.
Internet n’a jamais été conçu pour être sécurisé : ce n’est pas et ne sera jamais sa vocation …
Désolé il faudra chercher ailleurs.
Ce n’est pas Internet qu’il faut changer mais les mentalités des hommes et femmes de cette planète encore bleue.
C’est vrai que la méthode à la Steam, c’est top
Tu changes d’ip ? Ok saisie le code qui t’a été envoyé par mail
Oui, c’est configurable. Ou tu demandes une IP fixe chez ton FAI.
Je ne porte pas de jugement de valeur. Surtout que je m’en tape du monde.
Mais bon entre Bachar qui censure le réseau et les 2 ou 3 factions (c’est pas encore très clair, ils existent vraiment les rebelles non affiliés à l’EI ?) qui bombardent les infrastructures, faut vraiment le vouloir pour pirater un journal étranger parce qu’un autre journal du même pays publie une caricature…
Quelque part c’est rassurant, s’ils avaient des gens vraiment compétents ce serait plus un problème.