Par 
Le cocréateur d’Ethereum a apporté des précisions quant à la manière dont un pirate a pu prendre le contrôle de son compte Twitter. Il s’agissait d’un hack de type SIM swap, soit le vol de sa ligne auprès de son opérateur mobile.
Comment des pirates ont-ils pu au cours du week-end dernier prendre la main sur le compte X de Vitalik Buterin, le cofondateur d’Ethereum, et ainsi diffuser une escroquerie crypto ? La question se posait compte tenu des compétences techniques de la victime.
Difficile d’imaginer le recours à un mot de passe faible de la part de Buterin ou un banal phishing. Alors à qui la faute ? Twitter ? Le responsable est en réalité à chercher du côté de l’opérateur téléphonique du cofondateur d’Ethereum.
Du SIM swap et de l’ingénierie sociale
Le développeur a apporté des précisions sur le hack dont il a été la cible, indiquant ainsi avoir subi une attaque de type SIM swap. En clair, un tiers a pu usurper sa ligne de téléphonie mobile.
Grâce à cet accès, l’attaquant est parvenu dans un second temps à détourner la double-authentification en place sur Twitter pour modifier le mot de passe du compte et en prendre le contrôle.
Oui, il s’agissait d’un échange de cartes SIM, ce qui signifie que quelqu’un a réalisé du social engineering auprès de T-mobile afin de dérober mon numéro de téléphone », déclare Vitalik Buterin sur réseau social décentralisé Warpcast.
Un numéro volé et le mot de passe X réinitialisé
La figure de l’écosystème Ethereum a tiré quelques leçons de cette mésaventure et des failles potentielles des dispositifs de sécurité mis en place sur X pour protéger l’accès au compte.
« Un numéro de téléphone est suffisant pour réinitialiser le mot de passe d’un compte Twitter, même s’il n’est pas utilisé comme 2FA », témoigne-t-il. Plus question donc pour lui d’indiquer un numéro comme mode d’authentification supplémentaire.
Les attaques de type SIM-swap ou simjacking ont été fortement médiatisées aux États-Unis ces dernières années. Et en raison des actifs gérés par les aficionados de la crypto, ses utilisateurs, en particulier les plus célèbres, sont des proies.
T-Mobile cible de choix du simjacking
L’opérateur T-Mobile, un des principaux acteurs aux États-Unis, a déjà été confronté à ces attaques. En 2020, il était d’ailleurs poursuivi par des clients lui reprochant sa responsabilité dans une série de hacks dont le préjudice avoisinait les 9 millions de dollars en crypto.
Plus récemment, en février 2021, un abonné de T-Mobile a porté plainte contre l’opérateur. Motif : le vol de 450 000 dollars en BTC à la suite d’une attaque SIM-swap.
Ces piratages illustrent les failles potentielles de l’authentification 2FA avec usage du numéro de portable – et sans doute aussi le manque de sensibilisation à la sécurité du personnel de certains opérateurs.
