Twitter accusé de mensonge à cause d'un pirate auvergnat

Twitter accusé de mensonge à cause d'un pirate auvergnat


Hacker Croll, le jeune pirate clermontois qui avait trouvé les codes d'accès administratifs de Twitter, a été condamné jeudi 24 juin à cinq mois de prison avec sursis. Le jeune homme de 23 ans a échappé à une amende comme il l'espérait. Le procureur avait requis une peine de prison plus légère (deux mois avec sursis) mais assortie d'une amende de 1 000 euros.

Hacker Croll s'était introduit sur les comptes des administrateurs de Twitter en devinant leur mot de passe. Pour trouver ces passwords, il avait tout simplement écumé les réseaux sociaux à la recherche d'informations personnelles sur ses victimes: date de naissance, prénom de leurs enfants ou de leurs animaux de compagnie... Ces informations lui avaient permis de récupérer le mot de passe des mails grâce à la question de sécurité. Il s'était ensuite servi de l’adresse Yahoo d’un employé de Twitter pour pénétrer sur l’administration du site. Il avait alors effectué quelques captures d’écran, avant d’être repéré 15 minutes plus tard.
Twitter ne doit plus «mentir»

Le journal La Montagne, qui a suivi l'histoire de près, relève que cette décision du tribunal correctionnel de Clermont-Ferrand est tombée une heure après une autre décision sur le même dossier, mais cette fois de... la Commission américaine du commerce (FTC).

La FTC demande à Twitter de ne plus «mentir à ses utilisateurs» sur la sécurité puisque Hacker Croll a prouvé qu'il était simple de rentrer dans le back-office de la start-up américaine. David Vladeck, directeur du Bureau de la FTC de la protection des consommateurs, se montre sévère avec Twitter:

Quand une société promet aux consommateurs que leurs renseignements personnels sont en sécurité, il faut être à la hauteur de cette promesse. Une entreprise qui permet aux consommateurs de diffuser leurs informations privées doit utiliser la sécurité appropriée pour garantir cette diffusion. Les consommateurs qui utilisent les réseaux sociaux peuvent choisir de partager certaines informations avec les autres, mais ils ont toujours le droit de s'attendre à ce que leurs renseignements personnels soient gardés confidentiels et sécurisés.

Twitter va devoir renforcer la sécurité de ses mots de passe internes, interdire à ses employés de stocker ces codes dans leur boîte mail, suspendre les mots de passe après un nombre raisonnable de tentatives de connexion infructueuses et faire changer périodiquement ces mots de passe, par exemple tous les 3 mois.