De nombreux comptes Twitter certifiés d\'institutions et d\'entreprises ont publié mercredi 15 mars 2017 des messages de propagande favorables au président turc Recep Tayyip Erdogan.
De nombreux comptes Twitter certifiés d'institutions et d'entreprises ont publié mercredi 15 mars 2017 des messages de propagande favorables au président turc Recep Tayyip Erdogan. (LEON NEAL / AFP)

Twitter : comment Bercy et d'autres comptes officiels ont été piratés (et comment vous en protéger)

"#Allemagne nazie #Pays-Bas nazis. Voici une petite claque ottomane pour vous." Mercredi 15 mars au matin, de nombreux comptes Twitter de personnalités et d'institutions ont publié un message, débutant par une croix nazie, évoquant le référendum constitutionnel du 16 avril en Turquie.

Parmi les victimes de ce piratage massif et hautement politique se trouvent le ministère français de l'Economie, le maire de Bordeaux Alain Juppé, ou encore Amnesty International, le journal économique Forbes et le magazine "Envoyé spécial". Franceinfo vous explique l'origine de ce piratage et les moyens de vous en protéger.

Le compte Twitter officiel de Bercy a été piraté mercredi 15 mars.
Le compte Twitter officiel de Bercy a été piraté mercredi 15 mars. (CAPTURE D'ÉCRAN)

Comment les pirates ont procédé

Pour réussir cette opération, le ou les pirates n'ont, a priori, pas eu recours à un système de détournement de mots de passe des comptes Twitter concernés. La faille provient, en fait, d'une "application tierce" : Twitter Counter, un outil payant et indépendant du réseau social. En échange d'une autorisation d'accès au compte, cette application propose aux entreprises et institutions des statistiques avancées, comme un suivi détaillé du nombre d'abonnés.

L'application Twitter Counter a confirmé, mercredi matin, le piratage de son service, et a annoncé le lancement d'une enquête interne. Dans un message posté sur le réseau social, l'entreprise rappelle qu'elle ne conserve pas les mots de passe de ses clients et assure qu'elle a désormais bloqué l'option qui lui permettait de poster des messages sur le compte de ses clients.

Cette méthode de piratage ne concerne malheureusement pas seulement les comptes Twitter d'importance. Si vous êtes un adepte du réseau social, vous avez sans doute déjà été tenté d'installer une application tierce vous permettant, par exemple, d'identifier les utilisateurs qui ont cessé de suivre votre compte. Celles-ci, comme Twitter Counter, ont de grandes chances de pouvoir publier des tweets en votre nom.

Comment savoir si votre compte est vulnérable 

Pour vérifier l'identité des programmes tiers ayant accès à votre compte, rendez-vous dans la catégorie "Applications" des paramètres de Twitter. Vous trouverez une liste de tous les programmes tiers que vous avez installés, ainsi que les différents niveaux d'autorisations d'accès de ces applications à votre compte. Dans l'exemple ci-dessous, l'application Periscope est ainsi autorisée à lire uniquement des tweets, Vine à lire et à publier, et Tweetdeck à lire, publier, et accéder aux messages privés.

Cliquer sur "Révoquer l'accès" permettra de dissocier votre compte de ces applications tierces, qui peuvent être sujettes à des piratages à l'image de Twitter Counter. Si certaines vous semblent farfelues ou peu sûres, vous pouvez également les signaler auprès de Twitter en cliquant sur "Signaler l'application" après avoir révoqué leur accès à votre compte.

Comment renforcer la sécurité de votre compte

Une fois que vous avez révoqué les autorisations d'accès aux applications tierces que vous n'utilisez pas, il peut être utile de renforcer encore la sécurité de votre compte Twitter en activant la double authentification. Ce système consiste à demander un code supplémentaire, accessible de vous seul, en plus de votre traditionnel mot de passe, qui peut être piraté par un individu malveillant.

Par défaut, Twitter vous propose d'utiliser ce mécanisme grâce aux SMS. Après avoir entré votre mot de passe pour vous connecter à votre compte, le réseau social vous enverra un texto comportant un code de six chiffres généré aléatoirement. Vous devrez le renseigner pour accéder au réseau social. 

Vous pouvez activer ce mécanisme depuis le site web de Twitter ou depuis l'application mobile officielle. Pour cela, direction la catégorie "Compte", puis "Sécurité" des paramètres de Twitter. Cochez ensuite la case "Vérification de connexion", et suivez les instructions.

En cas de perte ou de vol de votre téléphone, pas de panique : vous pourrez tout de même accéder à votre compte. Twitter vous propose, en effet, d'obtenir un code de secours fixe, que vous devrez noter et conserver précieusement, et qui vous permettra de vous connecter même si vous n'avez pas accès à votre téléphone.