J’ai été contacté hier par le hacker qui a piraté Twitter et dont j’avais parlé ici. Hacker Croll, c’est son pseudo m’a expliqué qu’il avait pu accéder à différentes boites mails des employés de Twitter dont celle de Evan Williams et de son épouse. Celui lui a permis d’avoir accès à tout un tas d’infos assez hallucinantes.
Il a eu accès aux comptes Paypal, Amazon, Apple, AT&T, MobileMe et Gmail d’Evan Williams, de Sara Morishige Williams, de Margaret Utgoff, et de Kevin Thau (des employés de Twitter).
Voici les captures écran que ce hacker m’a envoyé…
Il a pu accéder aux informations Registrar des noms de domaines de Twitter et il pouvait à tout moment rediriger les domaines twitter vers n’importe quelle adresse IP (ou carrement voler le nom de domaine)
Mais le plus flippant, c’est la quantité d’informations interne qu’il a pu se procurer sur Twitter.
- la liste de tous les employés
- leurs préférences alimentaires
- des numéros de cartes bleues
- des contrats confidentiels avec Nokia, Samsung, Dell, AOL, Microsoft et j’en passe
- des contacts emails de personnalités du web et du showbizz
- des numéros de téléphone
- des comptes rendus de réunion (très instructifs)
- des modèles de documents internes
- des emplois du temps
- des CV de candidats aux postes dispo
- des grilles de salaire (je vais changer de boite moi… lol)
Mais parmi toutes ces infos, on peut voir des choses assez rigolotes comme
- Le « possible » lancement d’une émission de télé-web-réalité, dans laquelle les participants parcouront les USA en relèveront des épreuves avec l’aide de leurs followers. A la clé, 100 000 $ à gagner (destinés à une association) !
- Des prévisions de croissance qui les conduisent à 25 millions d’utilisateurs fin 2009, 100 millions fin 2010, 350 millions fin 2011…Etc avec les bénéfices net que je m’abstiendrai de mettre ici.
- Une liste de nouveaux comptes de stars comme Wyclief Jean, DuranDuran, Cartoon Network, Cisco, UCLA, Guillaume Pepy (PDG de la SNCF), Nirvana, Toshiba, 50Cents…etc
- Les plans d’aménagement de leurs nouveaux bureaux et notamment une liste de souhaits de la part des employés qui aimeraient une salle de sièste, une salle de jeux, des plantes, un chef cuisto, une salle de méditation, des garages à vélo, des bureaux ajustables, une salle de sport, une salle de méditation, une machine à laver / séche linge, du wifi, des casiers, une cave à vin, un aquarium et j’en passe… Ils ont de l’imagination.
- Leurs idées sur la monétisation de Twitter… On a bien sûr la certification de comptes, mais aussi la publicité et la possibilité de mettre des widgets Adsense, ou les tweets sponsorisés. Twitter souhaite aussi être les premiers à atteindre le milliard d’utilisateurs (ce qui je pense est largement faisable). Ils se définissent d’ailleurs eux-même plus comme un « système nerveux » qu’un système d’alerte…
- On y apprend aussi que notre président va se mettre à Twitter (@NicolasSarkozy) et que c’est Nicolas Princen qui va s’en occuper.
- Et des « tests » de design de t-shirt et casquette…
La société Twitter a donc bien été visitée en profondeur par ce hacker. Depuis tout est rentré dans l’ordre car des consignes de sécurité ont été passées :
et les mots de passe ont été changé. Les infos données par Hacker Croll datent donc de début mai mais n’en restent pas moins très instructives. Dans son mail, Hacker Croll explique d’ailleurs la morale à retenir de cette petite mésaventure :
Ce que je voudrais dire c’est que les plus grands font des conneries plus grandes qu’eux sans pour autant s’en apercevoir et j’espère que mon intervention leur fera prendre conscience que nul n’est à l’abri sur le net. Si j’ai fait cela c’est dans le but de sensibiliser ces personnes qui pensent être plus en sécurité que de simples internautes novices. Et la sécurité ça commence par des trucs simples comme les questions secrètes dont beaucoup ignorent réellement leur utilité ou l’impacte que ça peut avoir sur leur vie privée si un pirate parvenait à les contourner.
Quand à moi, je vous ai mis ici uniquement des infos non préjudiciables pour Twitter car je suis un grand fan du travail de Evan et de son équipe. Je me suis contenté de relayer une partie seulement des infos de Hacker Croll et ce que je peux dire à l’équipe de Twitter, c’est que ce pirate a l’air d’être un vrai hacker avec un code de conduite, qui ne portera pas atteinte à l’entreprise.
Maintenant, clairement, on voit par cette démonstration de piratage qu’il est très facile à partir d’un simple mot de passe deviné via une question secrète de remonter dans d’autres comptes (Facebook, Gmail et autre) et ainsi pénétrer au coeur d’une entreprise, à la fois en accédant à des données confidentielles, mais aussi en paralysant tout un business, simplement en détournant quelques noms de domaine ou comptes admins.
Bref, continuez à être parano. N’utilisez pas la question secrète, changez de mot de passe pour tous vos comptes, ne stockez pas en ligne de documents trop sensibles…Etc. Bref, soyez prudent.