Twitter encore victime d'un hacker français

Philippe Berry

— 

La fail whale de Twitter, qui apparait quand le site est HS
La fail whale de Twitter, qui apparait quand le site est HS — Twitter
Mise à jour: TechCrunch poursuit la publication d'informations, cette fois-ci financières, que 20minutes.fr a décidé de ne pas reprendre. Dans un billet sur le blog officiel de Twitter, son cofondateur Biz Stone plaisante en expliquant que ces documents ne contiennent  «pas de plan secret pour conquérir le monde». Il dit également  «être en discussions avec l'avocat de l'entreprise afin de déterminer ce que signifiait ce vol pour Twitter, pour le hacker et pour toute personne qui publie ces documents volés». /mise à jour.


Il se fait appeler Hacker Croll. Il avait déjà fait parler de lui en mai dernier, en accédant aux comptes de plusieurs twitterers célèbres, dont Ashton Kutcher. Twitter avait juré qu'on ne l'y reprendrait plus. Las pour le site de microblogging, Hacker Croll a récidivé, cette fois-ci en dérobant plusieurs centaines de documents confidentiels. Liste d'employés, préférences alimentaires, salaires, contrats passés ou en discussion, informations et projections financières, emails d'utilisateurs, comptes nouvellement enregistrés (dont un @nicolassarkozy)... Evan Williams, cofondateur du site, confirme à TechCrunch 

que Twitter a été victime d'une attaque «il y a quelques semaines».

>> Vous êtes en contact avec Hacker Croll? Pour contacter un rédacteur de 20minutes.fr, c'est première lettre du prénom, collée au nom at 20minutes.fr, par exemple jdoe at 20minutes.fr pour John Doe)


Principale différence, @ev jure que la sécurité de twitter.com n'est pas en cause. Apparemment, le hacker a accédé à ces informations en piratant notamment les comptes gmail de plusieurs employés et de la femme d'Evan Williams, exploitant des mots de passe trop faibles et des failles de la page «password recovery» , qui sert à récupérer un mot de passe égaré.

 

Publier ou ne pas publier

 

Le blogueur français Korben, à qui Hacker Croll a envoyé ses trouvailles, a été le premier à révéler l'affaire mardi soir. Il a publié plusieurs captures d'écran et informations «non sensibles» (en vrac: les plans d'aménagement des nouveaux bureaux, des demandes des employés qui aimeraient un chef cuistot –comme chez Google– ou une salle de méditation, l'objectif d'atteindre 25 millions d'utilisateurs fin 2009 et 350 millions en 2011 et quelques pistes de monétisation déjà évoquées, comme la publicité ou les tweets sponsorisés). Korben, en revanche, se refuse à publier des informations préjudiciables car il est «un grand fan du travail de Evan et de son équipe» –et sûrement aussi un peu pour se couvrir en cas d'action judiciaire.

 

Dans un email, Hacker Croll lui explique ses motivations: «Les plus grands font des conneries plus grandes qu’eux sans pour autant s’en apercevoir et j’espère que mon intervention leur fera prendre conscience que nul n’est à l’abri sur le net. Si j’ai fait cela c’est dans le but de sensibiliser ces personnes qui pensent être plus en sécurité que de simples internautes novices.»

 

TechCrunch a moins de scrupules

 

Hack Croll a également envoyé les données dérobées à TechCrunch, l'un des principaux sites consacrés aux nouvelles technologies. Ce dernier jure qu'il ne publiera pas d'informations pouvant «porter préjudice à des individus» (notamment l'identité de ceux ayant postulé chez Twitter mais n'ayant pas été retenus). En revanche, son fondateur Michael Arrington s'en justifie longuement: «Nous allons publier les informations pertinentes, relatives au business model de Twitter, notamment les projections financières. Beaucoup disent que ces données ont été volées et ne devraient pas être publiées. Nous ne sommes pas d'accord».


Pour l'instant, TechCrunch n'a posté que des informations sur un projet de télé-réalité avorté, dans lequel des entrepreneurs se seraient affrontés avec l'aide de leur followers (ceux qui les suivent sur Twitter).

 

Plusieurs centaines de commentaires appellent TechCrunch à ne pas publier des données plus sensibles. Il y a même un twtpoll (un sondage). Verdict: 56% des votants estime que TechCrunch devrait s'abstenir, pour des raisons éthiques, contre seulement 32% qui souhaite tout voir. La pression populaire fera-t-elle changer le site d'avis?


Hormis le fait que Nicolas Sarkozy va se mettre à tweeter (c'est Nicolas Princen qui va s'en occuper, selon Korben), que retenez-vous? TechCrunch devrait-il s'autocensurer?