Passer au contenu

Comment Hacker Croll a piraté des comptes Twitter

Soupçonné d’avoir visité des comptes du site, un internaute français de 23 ans a été arrêté, mardi matin, par les cyberpoliciers français accompagnés du FBI. En juin 2009, il livrait sa méthode au site Zataz. Extraits de cet entretien.

L’affaire vient de faire le tour du monde. Un jeune internaute français originaire du Puy-de-Dôme a été interpellé cette semaine pour avoir piraté en 2009 plusieurs comptes du site de microblogging Twitter. Il était traqué par le FBI et par l’OCLCTIC (1).

Après 48 heures de garde à vue dans les locaux du commissariat de Clermont-Ferrand, il a été libéré mercredi soir. « Je ne suis pas un hacker. Je suis un gentil pirate, affirme à l’AFP celui qui se fait appeler Hacker Croll. Je voulais simplement démontrer que les grandes sociétés ne sont pas plus en sécurité que n’importe quel internaute, c’est le message que je voulais faire passer. »

Le jeune homme était toutefois connu des forces de police pour une escroquerie en ligne qui lui aurait rapporté 15 000 euros, selon l’AFP. Pour ses nouveaux « exploits », il est convoqué devant le tribunal correctionnel le 24 juin prochain.

Il y a près d’un an, au mois de juin 2009, Hacker Croll se confiait au magazine en ligne Zataz. Il expliquait alors sa méthode pour s’introduire dans des comptes Twitter de personnalités connues (le nom du président des Etats-Unis, Barack Obama, a été cité) ou d’employés du site de microblogging, dont Evan Williams, l’un de ses fondateurs, dont les comptes Gmail et Amazon ont aussi été piratés.

La technique de Hacker Croll repose sur l’ingénierie sociale, ou l’art de collecter des informations personnelles sur un individu afin d’en déduire un login et un mot de passe. Voici quelques extraits de l’entretien qu’il avait accordé à Zataz.

Zataz : Pouvezvous nous expliquer votre méthode ?
Hacker Croll :
Oh, elle est presque simple. Il fallait un peu de temps, de chance et de curiosité. Première action, arriver à trouver une adresse électronique des employés. J’ai juste eu à chercher en faisant un whois (2) sur des noms de domaine appartenant à des employés. Seulement, au départ, galère. Certains registrars [gestionnaires de noms de domaine, NDLR] masquent les adresses pour lutter contre le spam et préserver un peu plus l’anonymat de leurs clients. Je me suis rendu sur la page « About us » de Twitter et j’ai consulté la fiche de chaque employé. Certains avaient indiqué l’URL de leur site Web. Il m’a suffi de faire, de nouveau, un whois.

Que faisiez-vous avec ces e-mails ?
Certains des employés possédaient une adresse du style « [email protected] ». Je me suis dit que, dans cette situation, il était impossible d’agir, car il n’y a pas de processus de redéfinition de mot de passe pour ces adresses. D’autres employés avaient une adresse de type @gmail.com. Chez Gmail, autre problème, on ne peut accéder à la question secrète (3) qu’après une inactivité de 24 heures sur le compte en question. Et comme la plupart des employés s’y connectent tous les jours, difficile de passer par là.

D’où l’attaque par Yahoo! ?
Oui, il y avait d’autres employés qui avaient renseigné une adresse en @yahoo.com. C’était le cas de Jason Goldman par exemple. Je vais sur Yahoo!. Je clique sur « mot de passe oublié » et je rentre son adresse. Je me heurte à une première difficulté.

Laquelle ? 
Yahoo! demande de vérifier l’identité avant de pouvoir accéder à la question secrète. Pour cela, il demande de renseigner la date de naissance, le code postal, le pays tels qu’ils figurent sur le compte. Je n’avais jamais réussi à franchir cette étape, mais, par chance, l’employé possédait un blog qui datait de 2002 et dans lequel il racontait sa vie. Dans son profil figuraient son âge et son signe astrologique. J’ai ainsi pu déterminer son année de naissance.

Vous n’aviez pas le jour ?
Non, mais en cherchant dans des articles, j’ai rapidement pu trouver ma réponse dans une page datant d’octobre 2004. Heureusement, d’ailleurs, car Yahoo! bloque les comptes e-mail après dix fausses tentatives
[au bout de dix mauvaises tentatives de connexion, NDLR]. Le code postal n’a pas été compliqué. Je l’ai trouvé à l’aide du whois. Pour sa question secrète, simple, c’était sa ville de naissance, Saint Louis.

Ensuite ?
Ensuite, j’ai oublié une étape et c’est ça qui a tout fait foirer. Ni lui ni Twitter n’auraient rien vu, ni su.

Quelle est cette erreur ?
Le gars avait indiqué plusieurs e-mails de secours pour récupérer son mot de passe. Chez Yahoo!, dès que l’on modifie son mot de passe, la réponse à la question secrète…, le webmail envoie une notification par courriel. C’est comme ça qu’il a su ! Il était connecté sur son compte Gmail à ce moment-là.

Qu’avez-vous fait ensuite ?
Une fois sur son compte Yahoo!, la première chose que j’ai réalisée a été de virer ses e-mails de secours. J’ai également modifié sa question secrète. Ensuite j’ai commencé les recherches dans ses messages avec le mot clé « password ». Je suis tombé sur une multitude de mots de passe différents. Il avait en fait toujours le même mot de passe avec une petite variante, deux lettres. Les deux premières lettres du site utilisé. Google, ça donnait GOxxxx ; Twitter : TWxxx ; Gmail : GMxxx ; etc.

[…]

De fil en aiguille, le jeune homme est parvenu à pirater plusieurs comptes Twitter. Mais il affirme n’avoir jamais cherché à monnayer ses informations. Malgré cela, il risque aujourd’hui deux ans de prison ferme.

Retrouvez l’intégralité de cette interview sur Zataz.

1. Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication.

2. Service de recherche permettant d’obtenir des informations sur un nom de domaine, notamment sur son propriétaire.

3. Certains webmails utilisent cette technique en cas de perte du mot de passe : le propriétaire d’un compte doit répondre à une question dont il est censé être le seul à connaître la réponse. Un nouveau mot de passe lui est envoyé par e-mail s’il parvient à s’authentifier.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Damien Bancal