Chaque compte certifié peut aider à en attraper d'autres. | Montage: Korii.
Chaque compte certifié peut aider à en attraper d'autres. | Montage: Korii.

Sur Twitter, les certifications de comptes se vendent sous le manteau

Objectif final: fourguer des NFT à des pigeons.

Un badge bleu orné d'une coche blanche: c'est généralement ce symbole qui est utilisé sur les réseaux sociaux pour indiquer qu'un compte a été certifié par l'administration du site en question. Nombre important de followers, volonté de lutter contre l'usurpation d'identité ou le harcèlement en ligne: il existe de nombreuses raisons pour lesquelles un utilisateur ou une utilisatrice peut avoir envie ou besoin de faire estampiller son compte de cette façon.

Ce badge n'est pas accordé à tout le monde. D'ailleurs, tous les réseaux sociaux n'ont pas les mêmes critères, si bien qu'on peut par exemple disposer d'un compte certifié sur Twitter mais voir sa demande rejetée sur Instagram (ou le contraire). Mais attention: la certification en question peut apporter plus d'ennuis que d'avantages. The Verge raconte en effet que les tentatives de phishing se multiplient afin de dérober des comptes certifiés à leurs propriétaires.

Sur certains groupes Telegram, les comptes volés sont vendus plusieurs centaines de dollars, car ils permettent de faire plus aisément la promotion de certains scams –des arnaques en ligne– portant principalement sur des ventes de NFT. Une fois acquis, les comptes en question publient parfois plusieurs centaines de tweets en quelques heures. Ce genre de scam, lorsqu'il est bien mené, pourrait permettre à ses organisateurs d'empocher jusqu'à des centaines de milliers de dollars.

Pour s'emparer des comptes certifiés, les pirates commencent par essayer des mots de passe avec l'aide de logiciels qui leur permettent de multiplier les tentatives. Cela fonctionne régulièrement, mais dans le cas contraire (notamment lorsque la double authentification est activée), ils passent à l'étape phishing.

Le badge bleu comme hameçon

Cette phase de hameçonnage peut se dérouler par mail. Mais comme cette méthode n'est pas toujours très efficace, les hackers n'hésitent plus à utiliser un autre compte certifié déjà en leur possession, et à passer par la messagerie du réseau social. Cela leur permet par exemple de contacter un utilisateur de Twitter en se faisant passer pour des employés de la plateforme. Il suffit de se choisir la bonne photo de profil (le logo Twitter) et d'envoyer un message solennel et sérieux.

Chez Twitter, on affirme faire régulièrement de la pédagogie, afin que les utilisateurs et utilisatrices ne tombent pas dans les pièges tendus par les voleurs de comptes certifiés, mais on explique également que «les scams sont de plus en plus sophistiqués».

The Verge conclut en donnant l'exemple d'un spécialiste de ce genre d'opération frauduleuse, qui affirmait récemment pouvoir fournir cinq-cents comptes ornés d'un badge bleu à des trafiquants de NFT, le tout en moins d'un mois. Plus que jamais, si vous disposez d'un tel compte ou si les NFT vous intéressent, la vigilance est donc de mise.

En ce moment

⚛️ Le grand bond en avant de la fusion 💣 L'Ukraine loin derrière les lignes russes 🐕 Des chiens errants kamikazes, une journée sur korii.

Et Cætera

⚛️ Le grand bond en avant de la fusion 💣 L'Ukraine loin derrière les lignes russes 🐕 Des chiens errants kamikazes, une journée sur korii.

Quatre articles pour voir le monde d'un autre œil.

En Russie, l'attaque des bombardiers stratégiques du Kremlin par de probables drones ukrainiens

Tech

En Russie, l'attaque des bombardiers stratégiques du Kremlin par de probables drones ukrainiens

Les bases d'Engels-2 et de Riazan auraient été touchées. Un tournant?

Les champs magnétiques sont en train de révolutionner la fusion nucléaire

Tech

Les champs magnétiques sont en train de révolutionner la fusion nucléaire

Des avancées stupéfiantes, et même plus importantes que prévu.