par Joseph Menn, Katie Paul et Raphael Satter
SAN FRANCISCO (Reuters) - Plus d'un millier d'employés et de prestataires de Twitter (NYSE:TWTR) avaient plus tôt cette année accès aux outils internes pouvant servir à modifier les paramètres d'un compte sur le réseau social et en confier le contrôle à d'autres, a appris Reuters de deux anciens employés de la firme américaine.
Ces déclarations sont de nature à fragiliser la défense de Twitter après l'opération coordonnée de piratage qui a affecté la semaine dernière les comptes de plus d'une quarantaine de personnalités, parmi lesquelles l'ancien président américain Barack Obama, le milliardaire Bill Gates ou encore le patron de Tesla (NASDAQ:TSLA), Elon Musk.
Twitter et le FBI ont ouvert des enquêtes sur cet incident lors duquel, a fait savoir mercredi le réseau social, les pirates informatiques ont vraisemblablement consulté les messages privés ("direct messages", DM) de 36 comptes, dont l'un appartenant à un élu néerlandais.
Dans une publication sur son blog samedi, Twitter a indiqué que les hackers avaient "manipulé un petit nombre d'employés et utilisé leurs identifiants" pour se connecter aux outils internes de l'entreprise et s'approprier l'accès à 45 comptes.
Les anciens employés de Twitter, au fait des pratiques du réseau social en matière de sécurité, ont déclaré qu'un trop grand nombre de personnes auraient pu effectuer des détournements similaires plus tôt cette année: plus de 1.000 personnes, parmi lesquelles certains salariés de prestataires comme Cognizant.
Twitter a refusé de commenter ce nombre et n'a pas dit si ce nombre avait diminué avant la cyberattaque ou depuis.
Le groupe a fait savoir qu'il cherchait un nouveau chargé de sécurité, qu'il travaillait à mieux protéger ses systèmes et à former ses employés pour que ceux-ci résistent aux supercheries externes.
Cognizant n'a pas répondu à une demande de commentaire.
SUPERVISION
"Il semble qu'il y ait beaucoup trop de personnes disposant d'accès", a estimé Edward Amoroso, ancien directeur de la sécurité chez AT&T (NYSE:T). Les prérogatives au sein du personnel auraient dû être réparties, avec des accès limités à ces prérogatives et la nécessité que plus d'une personne soit présente pour convenir de procéder à des changements sensibles pour le compte d'un utilisateur, a-t-il ajouté.
Selon les experts en sécurité informatique, les menaces d'initiés - en particulier de prestataires externes à bas salaire - sont une source constante d'inquiétude pour les entreprises qui servent un grand nombre d'utilisateurs.
A leurs yeux, plus le nombre de personnes pouvant modifier des paramètres clé est grand, plus la supervision doit être stricte.
Les anciens employés de Twitter ont déclaré que le réseau social s'était amélioré dans le suivi d'activité de ses employés après de précédents incidents, dont des recherches d'informations privées effectuées par un employé accusé l'an dernier d'espionnage pour l'Arabie saoudite.
Si les rapports d'activité sont précieux lors d'enquêtes, seuls des mécanismes d'alerte ou des analyses constantes peuvent permettre de se servir de ces données pour éviter des failles de sécurité.
L'ancien chef de la sécurité de Cisco (NASDAQ:CSCO) Systems, John Stewart, a déclaré que les entreprises à large accès devaient mettre en place un ensemble de restrictions et, au bout du compte, s'assurer que les personnes ayant les plus hauts niveaux d'accès "font seulement ce qu'elles sont censées faire".
COMPTES PROTÉGÉS
Un flou demeure sur l'identité des hackers ayant mené l'opération de la semaine dernière.
Cependant des forums sur lesquels sont actifs certains groupes de cybercriminels sont truffés de longue date de messages vantant des accès à des "insiders" chez Twitter, a dit Nick Bax, analyste chez StopSIMCrime.
La possible implication de cybercriminels de bas niveau inquiète d'autant plus les professionnels, qui redoutent les ravages que pourrait provoquer une attaque menée avec l'implication d'un gouvernement hostile.
L'accès aux comptes Twitter des dirigeants politiques mondiaux a été limité à un nombre restreint de personnes après qu'un employé rebelle a brièvement supprimé le compte du président américain Donald Trump en 2017. Cela pourrait expliquer pourquoi le compte du locataire de la Maison blanche n'a pas été détourné la semaine dernière, contrairement à celui de son rival pour l'élection présidentielle américaine, Joe Biden.
Twitter doit accroître le nombre de comptes protégés, a déclaré John Adams, ancien ingénieur en sécurité du réseau social. Il faudrait notamment que toute modification importante sur les comptes ayant plus de 10.000 abonnés puisse seulement être effectuée avec la validation d'au moins deux personnes.
Des experts ont exprimé leur inquiétude sur l'ampleur du travail qu'il reste à accomplir à Twitter en très peu de temps alors que la campagne électorale aux Etats-Unis va s'intensifier en vue du scrutin du 3 novembre, avec le risque d'ingérences domestiques et de pays étrangers.
(version française Jean Terzian)