Nouveau problème à gérer pour Elon Musk ? Une annonce publiée le 23 décembre sur le plus populaire des forums de vente de données devrait attirer son attention. Un utilisateur, sous le pseudonyme Ryushi, affirme détenir les données de 400 millions de comptes Twitter. Il s'agirait d'un mélange de données publiques (noms d'utilisateur, dates de création du compte...) et privées (adresses email et leurs numéros de téléphone).
Sans donner de prix, le malfrat compte vendre la base de données à un acheteur unique, et il suggère d'un ton menaçant à Elon Musk de devenir l'acquéreur afin d'éviter les ennuis. En jeu : la réputation du réseau social, mais aussi une potentielle amende de la part du régulateur européen. Le milliardaire propriétaire du réseau social, pourtant d'habitude prompt à répondre au moindre commentaire sur sa plateforme, ne s'est pour l'instant pas prononcé sur le sujet, malgré plusieurs prises à parti.
Des numéros de téléphone de célébrités compromis
Alon Gal, fondateur de Hudson Rock et expert très suivi sur le sujet des fuites de données, rappelle sur son compte LinkedIn que « pour l'instant, il est impossible de vérifier entièrement qu'il y a en effet les données de 400 millions d'utilisateurs dans la base de données, ou même que cette dernière provient directement de Twitter. » En effet, dans ce milieu les escrocs sont nombreux, car ils ne font qu'engager leur parole. Contrairement au commerce légal, l'acheteur n'a aucune protection s'il se fait tromper sur la marchandise.
Souvent, des malfrats rusés compilent des données déjà fuitées, pour donner du volume à leur offre. De même, ce n'est pas parce que les données semblent appartenir à Twitter que l'entreprise est forcément fautive dans la fuite : il n'est pas rare que des sous-traitants fuitent les données de leurs clients suite à un incident de cybersécurité.
Pour convaincre les membres du forum de la véracité de ses propos, Ryushi a donc attaché à son annonce un échantillon de 1.000 entrées, une pratique courante dans ce milieu. On y retrouve les données de célébrités comme le chanteur Shawn Mendes et le basketteur Stephen Curry, celles de grandes organisations comme la Nasa, ou encore celles de personnalités politiques comme le républicain Donald Trump Jr. et la démocrate Alexandria Ocasio-Cortez.
Montrer ces noms connus permet au malfaiteurs à la fois d'attirer l'attention sur son annonce et de faire monter les enchères. Pour cause : la présence d'informations sur des personnalités riches et influentes fait grimper les gains potentiels pour les hackers qui exploiteraient la base de données. Mais Ryushi a déjà un acheteur en ligne de mire : Elon Musk, bien que ce dernier n'ait toujours pas répondu à la proposition.
Chantage à l'amende
« Twitter ou Elon Musk, si vous lisez ceci. Vous risquez déjà une amende pour violation du RGPD suite à la fuite de 5,4 millions de données plus tôt cette année. Imaginez le montant de l'amende pour une fuite qui touche 400 millions d'utilisateurs, soit 75 fois plus de personnes », écrit-il. D'un ton menaçant, le malfrat rappelle que Facebook a récolté fin novembre une amende de 265 millions d'euros de la part de l'autorité des données irlandaise pour violation du RGPD. Une des fonctionnalités du réseau social avait permis à des malfrats d'aspirer les données, et notamment les numéros de téléphones, de plus de 533 millions d'utilisateurs en 2019. Ces données s'étaient à nouveau retrouvées dans la nature en 2021, ce qui avait déclenché un nouveau scandale.
Ryushi propose donc au milliardaire d'acheter lui-même la base de données pour étouffer l'affaire. Si l'homme d'affaires s'exécute, le hacker promet de supprimer sa publication et de ne jamais vendre à nouveau la base de données. « Vous protégerez ainsi beaucoup de célébrités et de personnalités politiques », affirme-t-il avant de donner une longue liste d'actes malveillants dont ils pourraient être la cible grâce aux données.
Concrètement, les numéros de téléphone et les emails de la base de données peuvent être utiles pour envoyer des tentatives de phishing : les malfaiteurs enverraient des messages personnalisés -puisqu'ils connaîtraient l'identité des destinataires- pour tenter de piéger leurs victimes afin de leurs faire installer des logiciels malveillants ou de leur voler leurs identifiants. Autrement dit, les informations contenues dans la base de données ne suffisent pas pour voler des comptes (Twitter, Instagram...) ou de l'argent aux personnes concernées, mais elles donnent un point de départ aux escrocs.
Pour compléter son argumentaire, Ryushi fait aussi un chantage à la réputation. « C'est la faute de l'entreprise si ces données ont fuité (...). Les influenceurs ne vous feront plus confiance, ce qui serait dommage vu les projets en cours pour Twitter », insiste-t-il. Lâché par les annonceurs sur Twitter et en grande difficulté avec les actionnaires de Tesla, Elon Musk n'a effectivement pas besoin d'un scandale en plus. Même s'il pourrait blâmer la faute sur l'ancienne administration.
Une fuite datée de janvier
En effet Ryushi affirme avoir récupéré les données au début de l'année 2022, grâce à une vulnérabilité qui a déjà fait parler d'elle. En juillet, un autre individu avait mis à la vente une base de données similaire, mais avec « seulement » 5,4 millions de comptes, pour 30.000 dollars. A l'intérieur se trouvait essentiellement des données publiques, mais aussi un certain nombre de numéros de téléphone et d'adresses email.
Les données, datées de décembre 2021, avaient été collectées grâce à une faille de l'API de Twitter -l'outil qui permet aux sites et autres logiciels de récupérer les données publiques du réseau social (par exemple, à des fins publicitaires, ou pour intégrer des tweets). Mais un bug de fonctionnement permettait aux hackers, en envoyant des numéros de téléphones et des adresses email aléatoires à l'API, de récupérer l'identifiant Twitter associé. Grâce à cet identifiant (qui prend la forme d'une suite de chiffres), les malfrats pouvaient ensuite récupérer toutes sortes d'informations publiques sur le compte, en utilisant l'API. Autrement dit, l'API ne donnait pas directement de données privées, mais permettait de les découvrir indirectement. La faille avait été remontée à Twitter par un hacker éthique via le programme de bug bounty de Hacker One, et corrigée dans la foulée.
Un mois après la vente des données, le réseau social avait confirmé l'existence de la faille et son lien avec la base de données. Finalement, la base des 5,4 millions de comptes a été publiée gratuitement en septembre par un autre individu, puis à nouveau fin novembre. Le Bleeping Computer révélait alors que plusieurs acteurs malveillants avaient exploité la faille pour voler des informations privées, et Ryushi serait probablement l'un d'entre eux. D'après Alon Gal, seules 50 des 1.000 entrées de l'échantillon se trouvaient dans la base des 5,4 millions de données. De quoi faire craquer un acheteur ?
Nucléaire : après 12 ans de retard, EDF va enfin mettre en service l’EPR de Flamanville
Sujets les + commentés