Twitter piraté

Le vendredi 18 décembre 2009, le microblog Twitter a été attaqué par la dénommée « Cyber Armée iranienne (Iranian Cyber Army) ». Le détournement aura duré de 6h50 à 8h20 heure française. Retour sur ce piratage.

Origine de l’attaque

Il est 22h15 jeudi soir aux USA lorsque le site de Twitter se met à pointer vers un lien URL piraté. Une page figée s’affiche alors avec un drapeau vert sur fond noir annonçant : « Ce site vient d’être piraté par la Cyber Armée Iranienne ».

Les pirates seraient donc l’Iranian Cyber Army ou ICA, une anagramme de la CIA. L’action se veut d’ailleurs une sorte de pied de nez aux autorités américaines accusées par l’ICA de « croire pouvoir contrôler et gérer internet avec leurs outils ».

La sécurité DNS en Cause ?

Les administrateurs de Twitter pensent d’abord à une attaque DNS, ce qui n’enchante pas la société Dyn Inc, en charge de la gestion des serveurs DNS de Twitter. Celle-ci réfute la thèse de l’attaque DNS et privilégie la thèse du vol des données personnelles via l’adresse mail d’un administrateur réseau de Twitter.
Dyn Inc pense que le hacker a ensuite fait une demande de renvoi automatique de mot de passe. Il avait ainsi toutes les données en main pour s’authentifier à la place de l’administrateur et modifier les redirections IP du site de Twitter. C’est d’ailleurs cette thèse qui semble être retenue jusqu’ici.

Twitter et l’Iran

Twitter s’est fait remarquer lors des élections iraniennes en juin dernier. Le microblog avait alors servi de source d’information pour le grand public, mais aussi de moyen de communication entre les manifestants. Prenant conscience de l’ampleur du rôle joué par Twitter en Iran, les autorités américaines ont été jusqu’à demander aux administrateurs de Twitter de retarder une mise à jour prévue en juin qui risquait d’interrompre le service du microblog.
Rappelons que le microblog n’en est pas à sa première expérience de piratage. En mai 2009, Il a déjà subi une attaque en déni de service en provenance de l’Europe de l’Est. En avril, c’est un hacker français qui a déclaré avoir en sa possession les mots de passe et identifiants d’un compte administrateur authentifié Twitter. Le hacker a néanmoins nié toute implication dans l’attaque de la semaine dernière.

Si ce thème vous intéresse, n’hésitez pas à vous inscrire aux Rencontres Internationales des Noms de Domaine (RINDD) 2010 les 15 et 16 mars prochains à la Chambre de Commerce et d’Industrie de Paris. Un atelier IT et sécurité intitulé « de nouveaux outils DNS face à de nouvelles menaces » aura lieu le mardi matin.

Pour en savoir plus :
Le site internet RINDD.COM