Nous mettons régulièrement en garde contre les tentatives d’escroqueries qui utilisent Internet, comme l’affaire Jobbinfrance.
Depuis quelques temps, nous relevons des témoignages de victimes d’un nouveau genre : le vol ou tentatives de vol de comptes Twitters.
Twitter, la plateforme de micro-blogging la plus populaire au monde, rassemble des millions de membres. Mais certains membres suscitent les convoitises : ceux qui ont un grand nombre de « fans » (« followers » dans le langage Twitter), et ceux qui ont un pseudonyme très court (une à deux lettres).
Dans un billet de blog (en anglais), Naoki Hiroshima, un prestataire Web américain, explique comment on l’a contraint par la pression à céder gratuitement son compte Twitter « @N » début janvier 2014, après avoir refusé de le vendre pour 50’000$.
Pour résumer, le voleur a tenté de prendre le contrôle du compte Twitter de Naoki. Il a été arrêté dans sa démarche juste à temps par l’utilisateur légitime du compte… Mais le voleur avait tout de même réussi à prendre le contrôle des autres comptes web de Naoki (Paypal, GoDaddy), qui ont servi au voleur comme monnaie d’échange pour obtenir gratuitement le compte Twitter tant convoité.
La technique employée par le maître chanteur de Naoki n’est pas sans rappeler celle décrite par le journaliste américain Mat Honan : le voleur a appelé Paypal en se faisant passer par Naoki, et obtenu la transmission des 4 derniers chiffres de la carte bancaire associée au compte Paypal.
Le voleur a ensuite appelé le bureau d’enregistrement de noms de domaines GoDaddy, et prétexté avoir perdu sa carte bancaire, mais se rappeler des 4 derniers chiffres. Le service client GoDaddy a laissé le voleur tester toutes les combinaisons, pour reconstituer les 2 chiffres supplémentaires demandés par la procédure GoDaddy, afin « d’authentifier » le voleur comme étant Naoki.
A partir de là, le voleur a pu prendre la main sur le compte web de Naoki chez GoDaddy, et modifier les paramètres de son nom de domaine qui gère ses emails… pour les envoyer et recevoir à sa place. Il a ensuite utilisé la procédure classique « mot de passe perdu » pour tenter de modifier le mot de passe du compte Twitter de Naoki. C’est à ce moment là que Naoki est intervenu, et a pu empêcher le vol de son compte Twitter.
Seulement, le voleur ayant fait main basse sur le compte GoDaddy de Naoki, il maitrisait l’ensemble des noms de domaine des clients de Noaki, et a proposé un troc : le compte Twitter contre la restitution du compte GoDaddy.
Naoki a donc finalement cédé au chantage. Mais son histoire se termine bien, puisqu’un mois plus tard, il retrouvait son compte « @N » grâce à l’aide des employés de Twitter. Mais ceci est une autre histoire…
Werner KLINGER
Ingénieur Conseil Web & NTIC