La semaine dernière, le chercheur néerlandais en sécurité Victor Gevers est facilement parvenu à «hacker» le Président américain. Il a partagé les preuves de son acte au journal Volkskrant et au magazine Vrij Nederland. À sa grande surprise, il lui a suffi de deviner le mot de passe pour accéder à son compte Twitter aux 87 millions d’abonnés.
Il aurait pu changer la photo de profil, lire ses messages privés ou encore publier n’importe quoi, mais il a préféré informer le principal intéressé, la CIA, la Maison-Blanche et Twitter de la faiblesse de la protection du compte.
En effet, les comptes de telles personnalités sont censés être au moins protégés par des mesures supplémentaires, notamment la double vérification via smartphone. La simplicité du mot de passe l’a également interpellé: «maga2020!», qui n’est autre que l’acronyme de son slogan de campagne «Make America Great Again».
Le lendemain, M.Gevers a constaté que la double vérification avait été activée. Deux jours plus tard, il a reçu un email des services secrets américains et leur a transmis toutes les informations relatives à son hack. Néanmoins, il se demande toujours comment un tel compte a pu être si peu protégé, surtout à quelques semaines de l’élection présidentielle.
Le réseau social n’a pas souhaité faire de commentaire, soulignant que les mesures de sécurité pour les comptes personnels ne sont pas de son ressort.
Déjà hacké en 2016
Quatre ans plus tôt, Victor Gevers était déjà parvenu, avec deux autres hackeurs, à accéder au compte de Trump, lorsqu’il était encore candidat pour son premier mandat présidentiel. À l’époque, il avait également choisi un mot de passe particulièrement simple: «yourefired» (vous êtes virés), une phrase qu’il avait répétée lors de l’émission de téléréalité The Apprentice.
Le Néerlandais a expliqué qu’il tentait régulièrement d’accéder aux comptes de personnalités importantes, uniquement dans le but de vérifier leur sécurité et de les en avertir, ce qui lui vaut auprès de ses pairs la qualification de hackeur «éthique». Il a notamment révélé une base de données chinoise qui contenait la localisation des 2,7 millions d’habitants de la province du Xinjiang, où vivent une grande partie d’Ouïghours.
Un possible fake?
Certains experts ont toutefois mis en doute la crédibilité d’un tel «hack» de la part du Néerlandais, reprenant une capture d’écran publiée sur le site spécialisé Techcrunch qui devait le prouver. Comme le fait remarquer Jeffrey Knockel, membre du Citizen Lab de l’université de Toronto, la «bio» actuelle de Trump indique «45th President of the United States» accompagné d’un emoji du drapeau américain, pour un total de 50 caractères.
Or, la preuve fournie par Gevers montre la même phrase sans le drapeau, et le décompte affiche 46 caractères. Se basant sur des archives Internet, il s’avère que la bio de Trump contenait déjà ce drapeau le 15 octobre, date présumée du «hack» du compte.
Confronté à ce fait par le magazine Vice, le Néerlandais a indiqué qu’il ignorait que ces images avaient été diffusées par la presse et qu’il n’était pas en mesure de fournir d’autres preuves, puisqu’il n’a plus accès à l’appareil qui lui a permis de s’introduire sur le compte et qui en contient les preuves.
Il a redirigé Vice vers le journaliste néerlandais qui a couvert l’affaire, lequel a fourni une nouvelle fois ces captures d’écran. Il a ensuite lui-même indiqué à son homologue de se tourner vers Gevers dont il estime qu’il «doit avoir une explication».
De son côté, Twitter a indiqué ne disposer d’«aucune preuve du hack présumé». L’attaché de presse adjoint de la Maison-Blanche, Judd Deere, a simplement commenté que ce n’était «absolument pas vrai», refusant d’en dire davantage sur les procédures de sécurité des réseaux sociaux du Président.