BLOGUE. Les actes de piratage de comptes Twitter bien en vue, réels ou allégués, se sont multipliés au courant des derniers jours. Les deux plus récents, celui du compte de Burger King lundi et celui de Jeep mardi, ont illustré les risques bien réels pour une marque de perdre le contrôle de son compte sur les médias sociaux.
Les messages illégitimes publiés sur les comptes Twitter des deux marques ont sans aucun doute nui à leur image. Par exemple, l’un des tweets publiés sur le compte de Burger King lundi annonçait un hamburger avec 100 % de Bath Salt (un jeu de mots faisant référence à une drogue dure dont c’est le surnom). Heureusement pour les deux marques, la nature des messages publiés sur les deux comptes piratés ne laissait pas de doute quant à leur provenance. Il était évident que la marque ne l’avait pas elle-même publiée. Un pirate souhaitait causer un tort maximum à une marque aurait toutefois pu publier des messages plus insidieux, de manière à créer une réaction populaire contre la marque.
Le piratage du compte Twitter de la nouvelle directrice créative de BlackBerrry, Alicia Keys, pourrait être un exemple d’une telle attaque insidieuse… ou un mensonge éhonté. Diffusé le 13 février dernier, le message piraté ne détonnait en rien avec le ton des interventions habituelles de la chanteuse sur le réseau social. Ce qui a attiré l’attention, c’est qu’il avait été diffusé à partir d’un iPhone. La chanteuse avait ensuite réagi en déclarant que son compte Twitter avait été piraté, une déclaration qui n’a pas manqué d’éveiller un certain scepticisme.
Des responsables des médias sociaux chez Viacom ont quant à eux cru bon de faire croire à leur audience que les comptes des chaînes BET et MTV avaient été piratés mardi. Les deux comptes ont ainsi affiché des messages suspects – mais bien entendu pas offensants – accompagnés du mot-clic #MTVhack. La manoeuvre n’était rien d’autre qu’un coup de publicité, a-t-on par la suite révélé sur ces comptes. Toutefois, ce coup de publicité ne peut qu’avoir contribué à amplifier la perception que Twitter a un problème de sécurité.
On ne saura sans doute jamais exactement comment les pirates ont pris le contrôle de ces comptes Twitter. Certains pointent en direction de Twitter, qui a fait l’objet d’une attaque au début du mois de février, qui aurait compromis quelque 250 000 comptes. Or, Twitter a par la suite changé les mots de passe des comptes susceptibles d’avoir été compromis.
Mettre son compte Twitter à l’abri du piratage
Dans les faits, les pirates ont plus probablement mis la main sur le mot de passe des comptes Twitter compromis, soit en les devinant, soit en piratant les entreprises affectées. C’est cette explication que semble privilégier Twitter, qui a publié hier sur son blogue un « amical rappel à propos de la sécurité des mots de passe ». Les conseils qu’on peut y lire sont les mêmes qu’on prodigue en général pour tous les mots de passe, soit créer un mot de passe fort (au moins 10 caractères, avec des chiffres ou des symboles), ne pas utiliser le même sur plusieurs sites, etc.
Contrairement à Facebook, dont les pages sont administrées par l’entremise de comptes personnels, le mot de passe d’un compte Twitter corporatif doit généralement être entreposé quelque part dans une entreprise. Souvent, on retrouve la liste des mots de passe utilisés par une dans un simple fichier Word ou Excel, pas même protégé par un mot de passe. Par conséquent, un pirate accédant à ce fichier pourra pirater les comptes de l’entreprise.
Les entreprises qui n’ont pas de tels fichiers commettent sans doute une imprudence encore plus manifeste, à moins d’avoir confié leurs mots de passe à un gestionnaire de mots de passe sécuritaire ou de n’en avoir qu’une version papier. En effet, les entreprises les plus imprudentes peuvent se passer d’un tel fichier en adoptant un même mot de passe facile à retenir (et, donc, lié à l’entreprise) pour tous leurs comptes sur les médias sociaux. Inutile de préciser qu’il s’agit là d’une très mauvaise idée.
Quelle leçon devriez-vous tirer de tous ces piratages de compte Twitter ? Pas grand-chose, sinon que vous devriez utiliser des mots de passe plus robustes. Si vous devez les consigner par écrit, vous devriez entreposer cette trace écrite de manière sécuritaire. Quoiqu’archaïque, une feuille manuscrite (imbibée de poison, s’il vous plaît) dans un coffre fort serait extrêmement difficile à pirater, par exemple.