Je viens de relire l’histoire de Graham Ivan Clark, et honnêtement, cette histoire continue de me marquer. Un gamin de 17 ans de Tampa a littéralement franchi la porte d’entrée de Twitter pendant une pandémie et en est sorti avec le contrôle du plus grand mégaphone du monde. Pas par le biais d’un syndicat de hackers d’élite ou d’exploits zero-day. Juste par ingénierie sociale et audace.

Ce qui me frappe, c’est que le piratage en lui-même n’était même pas la partie la plus intéressante. Ce qui compte, c’est comment cela a réellement fonctionné. Graham Ivan Clark n’a pas cassé de code — il a cassé des personnes. Lui et son complice ont appelé des employés de Twitter travaillant à domicile pendant le COVID, ont prétendu être le support technique interne, et leur ont fait cliquer sur de fausses pages de connexion. C’est tout. C’est toute l’histoire. En quelques heures, ils avaient accès à 130 comptes vérifiés, dont Elon Musk, Obama, Bezos, Apple.

Le tweet était simple : « Envoyez du BTC, vous en récupérerez le double. » En quelques minutes, plus de 110 000 € en Bitcoin ont afflué dans leurs portefeuilles. Twitter a dû désactiver tous les comptes vérifiés dans le monde — quelque chose qui n’était jamais arrivé auparavant.

Mais voici la partie folle : le gamin menait déjà des arnaques bien avant ça. À 15 ans, il était sur OGUsers à échanger des comptes volés. À 16 ans, il maîtrisait le SIM swapping — convaincre des employés de télécoms de donner les numéros de téléphone d’autres personnes, ce qui donne pratiquement accès à tout. Email, portefeuilles crypto, comptes bancaires. Un capital-risqueur s’est réveillé pour découvrir plus d’un million en BTC disparu.

La vie a dérapé à partir de là. Liens avec des gangs, drogues, violence. Il a été perquisitionné en 2019 et ils ont trouvé 400 BTC dans son appartement. Il a négocié, rendu 1 million pour « clore l’affaire », et comme il était mineur, il a légalement gardé le reste. Il avait 17 ans. Il avait déjà battu le système une fois.

Puis est venu Twitter. Et ensuite le FBI. Ils l’ont traqué en deux semaines — logs IP, messages Discord, données SIM. 30 chefs d’accusation de crime grave. Jusqu’à 210 ans de prison. Mais l’accord était simple : 3 ans en détention pour mineurs, 3 ans de probation. Il avait 17 ans quand il a piraté le monde. Il en avait 20 quand il a été libéré.

Aujourd’hui, il est dehors. Riche. Intouchable. Et l’ironie est brutale : X sous Elon est absolument inondé d’arnaques crypto chaque jour. La même psychologie qui a rendu Graham Ivan Clark riche fonctionne encore sur des millions de personnes.

La vraie leçon ne concerne pas le hacking. C’est la nature humaine. Les escrocs ne cassent pas les systèmes — ils cassent les gens. Ils exploitent l’urgence, la cupidité, la confiance, la peur. C’est pour ça que les comptes vérifiés sont en réalité plus faciles à imiter que les comptes aléatoires. C’est pour ça que les gens tombent encore dans les SIM swaps. C’est pour ça que certains envoient encore du Bitcoin à des comptes de scam évidents.

La sécurité technique n’a jamais été la faiblesse. C’a toujours été les gens. Graham Ivan Clark a prouvé qu’on n’a pas besoin d’être un génie du codage pour compromettre la plateforme la plus puissante de la planète. Il suffit de comprendre que l’humain est la véritable vulnérabilité. Et c’est cette partie qui devrait vraiment vous faire peur.