Comment je me suis fait pirater mon compte Twitter

Publié le 18 septembre 2011 par Choblab

Le hameçonnage (ou phishing en anglais) consiste à récupérer frauduleusement des informations personnelles pour voler votre identité numérique. Je pensais que ça n’arrivait qu’aux cons autres, mais je me suis fait avoir comme un bleu !

La mécanique du phishing

Tout commence avec un message en DM de la part d’une personne que je suis et qui me suit sur Twitter (elle-même victime) :

This made me laugh so hard when i saw this about you lol [suivi d'un lien]

Comme on se moque de moi sans que je sache pourquoi, je mords à l’hameçon et clique sur le lien.

J’arrive sur cette page qui a la couleur et l’odeur du Twitter mais qui est en fait une fausse page. Et là, le fait de consulter le message depuis mon mobile change la donne. L’URL (http://twittejr.com/session_verify/) m’aurait mis la puce à l’oreille si j’avais été sur mon PC mais sur le mini écran de mon téléphone (plus l’heure tardive et le dîner arrosé, je vous passe les détails), mes défenses naturelles sont moins fortes.

Je saisis alors les codes d’accès et rien ne se passe, donc je laisse tomber et m’endors la conscience tranquille. Le réveil est brutal : des dizaines de followers ont reçu des DM de mon compte avec le même message cité plus haut. De victime, je suis devenu bourreau malgré moi ! Pire, je ne peux pas répondre aux DM de followers sympas me signalant le problème, puisque j’ai explosé le nombre de DM que l’on peut envoyer en une journée !

Les risques

En récupérant le mot de passe de votre compte Twitter, le petit salaud à l’origine du hameçonnage peut deviner celui de votre email. S’il peut accéder à votre messagerie, il peut récupérer également les codes d’accès d’autres comptes, celui de votre banque par exemple, tout en étendant son hameçonnage à votre carnet d’adresses. La multiplication des médias sociaux a pour conséquence la multiplication des comptes et donc des codes d’accès. Pour se simplifier la vie, on risque donc de se contenter d’un ou deux mots de passe différents et de devenir une proie facile pour le phishing.

J’ai donc changé mon mot de passe Twitter, et également celui de mon compte mail associé sur les conseils de Marc (@annuaire_fr), que j’en profite pour remercier encore. J’espère que ça suffira et surtout que mon expérience pourra servir à d’autres.