Namefi

Domain Mayday EP03 : La prise de contrôle de comptes Twitter Bitcoin en 2020

Le 15 juillet 2020, des attaquants ont infiltré Twitter par téléphone, détourné les comptes vérifiés d'Obama, Biden, Musk, Gates, Apple et Uber, et lancé une arnaque de doublement de Bitcoin — récoltant environ 118 000 dollars. Une analyse approfondie de la façon dont le contrôle d'une identité en ligne a été volé, et ce qu'elle enseigne sur la possession d'un nom.

Publié le 17 juin 2026Par Équipe Namefi
  • domains
  • security
  • dns
  • domain-security
Domain Mayday EP03 : La prise de contrôle de comptes Twitter Bitcoin en 2020

Pendant quelques heures, un mercredi après-midi, les voix les plus fiables d'Internet se sont toutes mises à dire la même chose : envoyez-moi des Bitcoin, et je vous en renverrai le double.

Barack Obama le disait. Joe Biden le disait. Elon Musk le disait. Bill Gates, Jeff Bezos, Kanye West, Apple, Uber — les comptes à badge bleu, à identité vérifiée, en lesquels des centaines de millions de personnes avaient été formées à avoir confiance — publiaient tous la même arnaque crypto grossière, presque mot pour mot. Aucune de ces personnes n'avait tapé un seul caractère. Leurs comptes l'avaient fait, parce que quelqu'un d'autre tenait les clés.

Voici Domain Mayday EP03. Les deux premiers épisodes parlaient de noms — qui les possède, qui peut se les approprier. Celui-ci pose la même question sous un autre déguisement. Un pseudonyme Twitter, un badge vérifié, un nom de domaine : chacun est une revendication d'identité que nous acceptons collectivement sur la base de la confiance. Et le 15 juillet 2020, des attaquants ont prouvé à quel point il en faut peu pour s'emparer de cette revendication — non pas avec un logiciel malveillant ou un exploit zero-day, mais avec un simple coup de téléphone.

La confiance qui réside dans un pseudonyme

Un compte vérifié est un raccourci de confiance. Quand @BarackObama publie quelque chose, vous ne revérifiez pas que c'est vraiment lui ; le pseudonyme associé au badge est la vérification. Ce raccourci a une valeur immense — et une fragilité immense, parce que toute la confiance s'accumule sur le compte, tandis que le contrôle du compte peut résider ailleurs.

C'est la même structure qu'un nom de domaine. whitehouse.gov est digne de confiance non pas parce que chaque visiteur inspecte la chaîne de certificats, mais parce que le nom lui-même fait autorité. Contrôlez ce nom — au niveau du registrar, du DNS, du panneau d'administration — et vous héritez instantanément de toute la confiance que les gens y ont placée, que ce soit ou non le vôtre.

Le piratage de Twitter en 2020 est la démonstration la plus nette dont nous disposons de cet écart entre confiance et contrôle. Le régulateur financier de New York, qui a mené une enquête parce que des entreprises crypto réglementées figuraient parmi les victimes, l'a formulé sans ambages : l'attaque était « un conte édifiant sur les dommages extraordinaires que même des cybercriminels peu sophistiqués peuvent causer ».

15 juillet 2020 : la prise de contrôle

Art conceptuel coloré et vif d'une clé maîtresse lumineuse unique déverrouillant un vaste mur de badges bleus vérifiés génériques identiques, chaque badge s'ouvrant en séquence

Cela s'est produit rapidement et en plein jour. D'après la reconstruction de Wikipédia, « le 15 juillet 2020, entre 20h00 et 22h00 UTC, 130 comptes Twitter très en vue ont été compromis ».

Le rapport du Département des services financiers de New York (DFS) détaille la chorégraphie. Les attaquants ont commencé par les cryptomonnaies : « Les pirates ont d'abord manipulé des comptes Twitter liés à des entreprises et des personnes bien connues dans le domaine des cryptomonnaies », en semant des messages directs et des tweets pointant vers un portefeuille Bitcoin. Puis ils ont monté les enchères : « Les pirates ont ensuite considérablement élevé les enjeux en ciblant des comptes Twitter vérifiés comptant des millions d'abonnés ».

La liste des personnes touchées ressemble à une liste d'invités regroupant les comptes les plus fiables de la plateforme. Wikipédia note que « les comptes supposément compromis comprenaient ceux de personnalités bien connues telles que Barack Obama, Joe Biden, Bill Gates, Jeff Bezos... et des entreprises telles qu'Apple, Uber et Cash App ».

Le message était identique et absurdement simple. Depuis le compte d'Apple, tel qu'enregistré par Wikipédia : « Nous redonnons à notre communauté. Nous soutenons Bitcoin et nous pensons que vous devriez le faire aussi ! Tous les Bitcoins envoyés à nos adresses vous seront renvoyés en double ! » La même offre, répétée simultanément par des dizaines des bouches les plus crédibles du monde.

Tous les comptes n'ont pas été utilisés. Des 130 touchés, le régulateur a constaté que « au total, 130 comptes d'utilisateurs Twitter ont été compromis lors du piratage de Twitter. Parmi eux, 45 comptes ont été utilisés pour envoyer des tweets ». Quarante-cinq mégaphones, c'était bien suffisant.

Ce qui a réellement été perdu

En dollars bruts, le butin était modeste. Le rapport DFS indique que les « pirates ont volé environ 118 000 dollars de bitcoin lors du piratage de Twitter ». Wikipédia note qu'un seul portefeuille d'arnaque « a reçu plus de 320 dépôts d'une valeur de plus de 110 000 dollars américains avant que les messages frauduleux ne soient supprimés ». Pour une violation de cette ampleur, 118 000 dollars est un montant presque embarrassant par son modestie.

Mais le chiffre en dollars sous-estime considérablement la perte. Ce qui est vraiment tombé cet après-midi-là, c'est l'intégrité du pseudonyme vérifié en tant que signal de confiance. Pendant deux heures, un badge bleu ne prouvait rien. L'ensemble de la couche d'identité de la plateforme — ce qui vous permettait de croire qu'un tweet provenait de la personne dont le nom y figurait — était manifestement et simultanément contrôlable par un adolescent. La réponse de Twitter était éloquente : elle a temporairement gelé la capacité de nombreux comptes vérifiés à tweeter. La seule façon d'empêcher les comptes de confiance de mentir était de les faire taire.

Tel est le coût réel d'une prise de contrôle d'identité. L'argent n'est qu'une note de bas de page. Le préjudice, c'est que « ce compte = cette personne » cesse d'être vrai, et tous ceux qui se trouvaient en aval et qui comptaient sur cette équation se retrouvent exposés.

Comment cela s'est produit : un coup de téléphone, puis un panneau d'administration

Art conceptuel coloré et vif d'un combiné téléphonique lancé comme une ligne de pêche, son hameçon accrochant le tableau de bord d'un panneau de contrôle interne lumineux couvert d'interrupteurs et de boutons

Il n'y avait aucun exploit. Le rapport DFS est catégorique : « Le piratage de Twitter n'a impliqué aucune des techniques de haute technologie ou sophistiquées souvent utilisées dans les cyberattaques — pas de logiciels malveillants, pas d'exploits, et pas de portes dérobées ». Au contraire, « les pirates ont utilisé des techniques de base plus proches de celles d'un arnaqueur traditionnel : des appels téléphoniques où ils se faisaient passer pour le département des technologies de l'information de Twitter ».

C'est ce qu'on appelle le vishing — hameçonnage vocal. Les attaquants « ont appelé plusieurs employés de Twitter et ont prétendu appeler du service d'assistance du département informatique de Twitter » et « ont prétendu répondre à un problème signalé par l'employé avec le réseau privé virtuel de Twitter ». Twitter lui-même a ensuite décrit cela comme une « attaque d'hameçonnage vocal ciblé » qui reposait sur « une tentative significative et concertée d'induire en erreur certains employés et d'exploiter les vulnérabilités humaines ».

L'élément convaincant était la recherche préalable, pas la compétence technique. Comme le journaliste spécialisé en sécurité Brian Krebs l'a documenté, les attaquants s'appuyaient sur des données de profil — noms, rôles, détails personnels extraits de LinkedIn et de précédentes fuites de données — pour se faire passer pour de vrais collègues. Une fois qu'un employé croyait l'appelant, il transmettait ses identifiants, et ces identifiants ouvraient la porte vers le prix convoité : l'outil interne de gestion des comptes de Twitter.

Cet outil est au cœur de toute l'histoire. Krebs a rapporté que « dans les outils d'administration de Twitter, il est apparemment possible de mettre à jour l'adresse e-mail de n'importe quel utilisateur Twitter » — changer l'e-mail, déclencher une réinitialisation du mot de passe, et le compte est à vous, badge et tout. Le rapport DFS pointe vers la défaillance structurelle qui a rendu si catastrophique le fait de compromettre un seul employé : « Twitter avait certes limité l'accès aux outils internes, mais plus de 1 000 employés de Twitter y avaient encore accès ». Plus d'un millier de personnes détenaient une clé maîtresse pour chaque identité de la plateforme, et la société n'avait pas de directeur de la sécurité de l'information pour la surveiller — Twitter « n'avait pas eu de directeur de la sécurité de l'information (« CISO ») depuis décembre 2019, sept mois avant le piratage de Twitter ».

Il y avait aussi un marché parallèle à tout cela. Avant que l'arnaque aux célébrités ne soit lancée, le groupe était occupé à vendre des pseudonymes courts et prestigieux, les fameux « OG ». Krebs a noté qu'avant la diffusion massive impliquant Obama/Biden/Musk/Gates, « plusieurs noms de comptes Twitter courts et très convoités avaient changé de mains », car dans cette communauté « les noms de profil courts confèrent un certain statut et une certaine richesse » et « peuvent souvent se vendre des milliers de dollars lors de la revente ». Des noms à valeur de rareté, volés et revendus sur un forum — un schéma que tout investisseur en noms de domaine reconnaîtra instantanément.

L'épilogue et les arrestations

Le dénouement a été presque aussi rapide que le piratage. En l'espace de deux semaines, les procureurs sont passés à l'action. Krebs a rapporté les accusations : « Mason « Chaewon » Sheppard, un jeune de 19 ans de Bognor Regis, au Royaume-Uni, a également été inculpé en Californie pour complot en vue de commettre une fraude électronique, blanchiment d'argent et accès non autorisé à un ordinateur », et « Nima « Rolex » Fazeli, un homme de 22 ans d'Orlando, en Floride, a été inculpé dans une plainte pénale en Californie du Nord pour complicité d'accès intentionnel à un ordinateur protégé ».

Mais le présumé meneur était encore plus jeune. « Graham Clark, 17 ans, de Tampa, en Floride, figurait parmi les personnes inculpées dans le piratage de Twitter du 15 juillet », et en tant que mineur, il a été inculpé par le procureur de l'État de Floride plutôt que par un tribunal fédéral. Il « a été frappé de 30 chefs d'accusation pour crime, notamment fraude organisée et fraude en matière de communications ».

Le mars suivant, Clark a conclu un accord. CyberScoop a rapporté qu'il « a admis être à l'origine d'un stratagème au cours duquel il a volé plus de 117 000 dollars en s'emparant des comptes Twitter de nombreuses personnalités publiques ». La station de radio publique WUSF a rapporté la sentence : « trois ans dans un établissement pour mineurs suivis de trois ans de liberté conditionnelle », ce qui, a-t-elle précisé, était « le maximum autorisé par la loi de l'État sur les jeunes délinquants ».

Un quatrième individu a fait surface plus tard. Wikipédia enregistre qu' « en avril 2023, Joseph James O'Connor, 23 ans, citoyen britannique avec le pseudonyme en ligne PlugwalkJoe, a été extradé d'Espagne vers New York pour faire face à des accusations », et a ensuite été condamné à cinq ans de prison fédérale.

Ce que cela enseigne sur le contrôle de l'identité en ligne

Retirons les noms de célébrités et la crypto, et le piratage de Twitter en 2020 est une leçon pure sur la différence entre avoir une identité et la contrôler. Quelques principes en découlent :

  1. La confiance s'accumule sur le nom ; le contrôle réside dans les coulisses. Des centaines de millions de personnes faisaient confiance à @BarackObama. Cette confiance n'a pas protégé le compte, parce que la surface de contrôle du compte était un panneau d'administration interne accessible à plus d'un millier d'employés. Celui qui contrôle les coulisses contrôle l'identité, peu importe dont le nom figure en façade.

  2. Le maillon le plus faible n'est presque jamais la cryptographie. Aucun exploit, aucun logiciel malveillant, aucune porte dérobée — juste un coup de téléphone convaincant. Les systèmes d'identité échouent bien plus souvent au niveau humain et organisationnel qu'au niveau mathématique. Une serrure parfaite sur une porte que tout employé serviable ouvrira sur demande n'est pas vraiment une serrure.

  3. Un point de contrôle total unique est un point de défaillance total unique. Un seul outil interne réutilisable capable de changer l'e-mail de n'importe quel compte signifiait qu'un seul employé compromis équivalait à une prise de contrôle à l'échelle de la plateforme. Un contrôle concentré, réversible et opaque est la vulnérabilité.

  4. Les noms rares sont des cibles. La même équipe qui a détourné les comptes de présidents vendait aussi discrètement des pseudonymes « OG » courts pour des milliers de dollars. Les noms précieux attirent le vol, et la valeur d'un nom est précisément ce qui rend son contrôle intéressant à voler.

  5. La récupération ne devrait pas dépendre de la bienveillance de la plateforme. Lorsque les comptes de confiance ont commencé à mentir, le seul levier de Twitter était de les geler. Les propriétaires de comptes n'avaient aucun moyen indépendant de prouver « c'est vraiment moi » ou de reprendre le contrôle — ils dépendaient entièrement des outils internes d'un opérateur centralisé et de sa bonne volonté.

L'angle Namefi

Illustration colorée de la propriété vérifiable et inviolable d'une identité en ligne — sécurisée par un bouclier vert, un jeton Namefi vert, et la continuité

Un nom de domaine est une identité en ligne avec exactement le même écart confiance-contrôle que les pseudonymes vérifiés de Twitter — et souvent le même type de coulisses opaques. Pour la plupart des domaines, la « propriété » réside dans un compte de registrar, défendu par un mot de passe et une équipe d'assistance. Un appel téléphonique convaincant, un représentant d'assistance victime d'ingénierie sociale, un changement d'e-mail poussé via un panneau interne — le schéma de Twitter en 2020 se transpose presque à l'identique sur une prise de contrôle de compte de registrar. La confiance que le monde a placée dans votre domaine ne le protège pas si le contrôle de ce domaine se trouve derrière un service d'assistance qui peut être convaincu de n'importe quoi.

Namefi existe pour combler cet écart. L'idée centrale est que le contrôle d'un domaine doit être vérifiable et détenu par son propriétaire, et non un paramètre dans l'outil d'administration de quelqu'un d'autre. En représentant la propriété d'un domaine comme un actif tokenisé sur la blockchain, compatible avec le DNS, Namefi rend la question « qui contrôle ce nom ? » répondable cryptographiquement plutôt que par le jugement d'un agent d'assistance sous pression. Il n'existe pas de panneau interne unique auquel plus d'un millier d'employés peuvent accéder pour réattribuer silencieusement votre nom ; la preuve de contrôle réside chez le propriétaire, et les transferts sont auditables plutôt qu'improvisés.

Le piratage de Twitter en 2020 a fonctionné parce que l'identité et le contrôle avaient été subrepticement dissociés — le nom disait une chose tandis qu'un outil d'administration caché en décidait autrement. La leçon pour quiconque dépend d'un nom est de rendre le contrôle aussi lisible et ancré chez le propriétaire que la confiance que le nom porte. Un pseudonyme, un badge, un domaine : chacun n'est aussi sécurisé que les coulisses qui le sous-tendent. Le pari de Namefi est que ces coulisses devraient être un registre vérifiable que vous contrôlez, et non une ligne téléphonique que quelqu'un d'autre peut être trompé à répondre en votre nom.

Sources et lectures complémentaires

À propos de l’auteur·rice

Équipe Namefi
Équipe Namefi • Namefi
TwitterLinkedIn

Namefi est une équipe d’ingénieurs, de designers et d’opérateurs passionnés par la création d’outils qui simplifient la gestion de vos noms de domaine on-chain.

Guides connexes