Avez-vous déjà remarqué que les plus grandes violations de sécurité ne concernent pas toujours un code sophistiqué ? Je lisais sur ce cas qui le prouve parfaitement — et honnêtement, c’est fou.

Donc, en juillet 2020, Twitter a été complètement compromis. Mais pas par une unité cybernétique russe d’élite ou un groupe APT sophistiqué. C’était un adolescent. Un jeune de 17 ans de Tampa, en Floride, nommé Graham Ivan Clark, avec pratiquement rien d’autre qu’un ordinateur portable, un téléphone, et une audace qui pourrait faire transpirer la Silicon Valley.

Voici ce qui s’est passé : Le 15 juillet, les comptes vérifiés ont commencé à publier des messages identiques. Elon Musk, Obama, Bezos, Apple, Biden — tous disant la même chose. Envoyez des Bitcoin, récupérez le double. Cela semblait ridicule, n’est-ce pas ? Comme une escroquerie évidente. Mais les gens y ont réellement cru. En quelques minutes, plus de 110 000 dollars en Bitcoin ont été versés dans des portefeuilles. Twitter a dû désactiver tous les comptes vérifiés mondialement — quelque chose qui n’était littéralement jamais arrivé auparavant.

La partie folle ? Graham Ivan Clark n’avait pas besoin d’être un programmeur maître. Il n’a pas cracké de chiffrement ni exploité de zero-days. Il a simplement appelé des employés de Twitter, prétendu être le support informatique, et leur a fait réinitialiser les identifiants. Pendant les confinements liés au COVID, tout le monde travaillait à domicile, se connectant depuis des appareils personnels. L’ingénierie sociale était presque embarrassante de simplicité. Lui et un complice ont gravi la hiérarchie interne jusqu’à trouver un compte en « mode Dieu » qui leur permettait de contrôler 130 des comptes les plus puissants de la plateforme.

Avant cette attaque, Graham avait déjà mené des escroqueries pendant des années. Il a commencé avec des comptes Minecraft, puis est passé au changement de SIM — convaincre les opérateurs téléphoniques de lui donner le contrôle des numéros d’autres personnes. C’est ainsi qu’il a accédé à des portefeuilles crypto et des comptes email. Un capital-risqueur nommé Greg Bennett s’est réveillé pour découvrir plus d’un million de dollars en Bitcoin disparus. Quand les victimes ont essayé de négocier, elles ont reçu des menaces de s’en prendre à leur famille.

Sa vie hors ligne était tout aussi chaotique. Liens avec des gangs, deals de drogue, trahisons. Il a escroqué ses propres partenaires hackers. Quand la police a perquisitionné son appartement en 2019, ils ont trouvé 400 BTC — environ 4 millions de dollars à l’époque. Il a négocié pour rendre 1 million de dollars afin de « clore l’affaire » et a d’une manière ou d’une autre gardé le reste. Il était mineur, donc le système lui a permis de s’en sortir avec des millions.

Quand le FBI l’a finalement attrapé après la piraterie de Twitter, ils avaient tout — logs IP, messages Discord, données SIM. Il faisait face à 30 chefs d’accusation de crime grave et potentiellement 210 ans de prison. Mais comme il était mineur, il a conclu un accord. Trois ans en détention pour mineurs, trois ans de probation. Il avait 17 ans quand il a piraté le plus grand mégaphone du monde. Il en avait 20 quand il est sorti.

Ce qui est vraiment perturbant, c’est à quel point cela reste pertinent. Graham Ivan Clark a prouvé quelque chose que les escrocs savent depuis toujours — vous n’avez pas besoin de casser le système si vous pouvez tromper ceux qui le gèrent. Aujourd’hui, X est inondé des mêmes escroqueries crypto qui l’ont rendu riche. Les mêmes tactiques d’ingénierie sociale. La même manipulation psychologique.

La vraie leçon ici n’est pas la technologie. C’est la vulnérabilité de nous tous face à l’émotion. La peur, la cupidité, la confiance — ce sont les véritables vulnérabilités. Lorsqu’une personne crée de l’urgence, lorsqu’elle fait appel à votre portefeuille ou à votre ego, lorsqu’elle sonne suffisamment officiel, la plupart des gens ne réfléchissent pas à deux fois. Graham Ivan Clark n’avait pas besoin d’être un hacker génial. Il comprenait simplement les gens mieux qu’ils ne se comprenaient eux-mêmes.