Ce matin, j’ai eu quelques soucis pour me connecter à mon compte Twitter. Bien que je sois sur de mon nom d’utilisateur et de mon mot de passe, il s’affichait constamment « wrong password », j’ai donc décidé de réinitialiser mon mot de passe. Ensuite j’ai relevé mes mails et je suis tombé sur celui-ci émanent de Twitter :

Hey there.

Due to concern that your account may have been compromised in a phishing attack that took place off-Twitter, your password was reset. Please create a new password by opening this link in your browser: [LIEN]

This will reset your password. Remember to choose a strong password that is a combination of letters, numbers, and symbols. Do not reuse your old password.

As a reminder, you should be extraordinarily suspicious of any third party that offers to artificially inflate your follower count. We do not endorse any of these sites.

Please make sure to:

  • Scan your computers for viruses / malware, especially if unauthorized tweets continue to be posted in your accounts even after you’ve changed the password.
  • Check the Connections page at http://twitter.com/account/connections and revoke the access privileges of any third party applications that you do not recognize.
  • Avoid providing your username and/or e-mail and password to untrusted third-party sites.
  • Remove any updates that you did not post personally.

You can also visit our help pagefor hacked or compromised accounts

The Twitter Team

En bref, Twitter a pris les devants, sentant une attaque imminante venant de comptes dont les followers augmentaient de manière demesurée, le site de micro-blogging a réinitialisé une partie des mot de passe de ses utilisateurs par sécurité. Je ne sais pas exactement qu’elle place j’ai dans cette histoire. Je n’ai pas eu particulièrement beaucoup de followers (My Twitter stats on TwitterCounter) ni de tweets qui n’étaient pas de moi ou encore moins de connections indésirables.

Qu’est-ce que le phishing? (hameçonnage en Français)

L’hameçonnage (ou phishing, et parfois filoutage1), est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C’est une forme d’attaque informatique reposant sur l’ingénierie sociale (sécurité de l’information). L’hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques.

de wikipedia

Dans le cas présent il s’agissait selon le blog de Twitter d’une attaque venant de sites de torrents. Des faux sites de torrents ont été mis en place. Des utilisateurs y ont adhéré en voulant démarrer un service de téléchargement de torrents. Cependant, lorsque l’utilisateur s’inscrivait, les données personnelles introduites sont envoyés au hacker qui ensuite les utilise sur tous les réseaux sociaux possibles. Car, il ne faut pas se voiler la face, la majorité des utilisateurs ont le même mot de passe et login pour plusieurs sites.

Comment éviter le phishing?

Ci-dessus un exemple d’application de phishing. Le concept est toujours le même mais les moyens pour y arriver changent constamment. On ne peut donc pas être au courant de toutes les « vagues de piratage ». Comment faire? Il faut être très prudent. Sachez tout d’abord qu’il est parfaitement possible (sans aucune connaissance technique) d’envoyer un mail a quelqu’un sous une adresse mail qu’il connait. Si vous me donnez l’adresse de votre mère et la votre je peux vous envoyer un message qui apparaitra comme étant envoyé par maman. Un hacker peut donc aisément copier la mise en forme d’un mail d’information de Twitter et vous en envoie un qui contient un lien qui atterit sur un page totalement similaire a Twitter mais qui envoie vos données au hacker en même temps qu’elle redirige vers la vrai page Twitter pour que vous ne vous aperceviez de rien ! Voici la dernière tentative décortiquée par Techno Branchez-vous.com