Je viens de finir de lire l'une des histoires de piratage les plus folles de l'histoire d'Internet, et honnêtement, c'est bien plus dingue que ce que la plupart des gens réalisent. Ce n'était pas une cyberattaque sophistiquée d'un acteur étatique. Ce n'était même pas un groupe de hackers professionnel. C'était littéralement un adolescent fauché de Floride avec un ordinateur portable, un téléphone, et un niveau d'audace presque difficile à croire.

Alors voici le truc à propos de Graham Ivan Clark — le gars qui a essentiellement piraté Twitter en 2020. La plupart des gens pensent qu'il était un codeur d'élite qui a pénétré dans des serveurs. Non. Il a piraté quelque chose de bien plus précieux : la nature humaine elle-même.

Laissez-moi peindre le tableau. 15 juillet 2020. Internet devient complètement fou. Elon Musk, Obama, Bezos, Apple, Biden — tous les comptes vérifiés les plus importants sur Twitter commencent à publier le même message : « Envoyez-moi 1 000 $ en BTC et je vous enverrai 2 000 $ en retour. » Au début, tout le monde pensait que c’était une blague. Mais les tweets étaient réels. Twitter était entièrement compromis, et deux adolescents contrôlaient les voix les plus puissantes de la plateforme.

En quelques minutes, plus de 110 000 $ en Bitcoin ont été envoyés vers des portefeuilles contrôlés par les hackers. En quelques heures, Twitter a fait quelque chose d’inédit — ils ont verrouillé tous les comptes vérifiés de la plateforme dans le monde entier. Tout le système de vérification est devenu inaccessible.

Et le cerveau derrière tout ça ? Pas une figure mystérieuse dans un sous-sol sombre. Juste un gamin de 17 ans.

L’histoire de Graham Ivan Clark est en fait assez sombre quand on y regarde de plus près. Il a grandi à Tampa sans rien. Famille brisée, pas d’argent, pas de perspectives réelles. Pendant que d’autres enfants jouaient simplement, lui il menait des arnaques en ligne — se faisant des amis, vendant de fausses objets dans le jeu, prenant l’argent, les ghostant. Lorsqu’il a été découvert, il piratait simplement les chaînes YouTube des YouTubers en guise de revanche. À l’âge de la mi-teen, il avait déjà rejoint OGUsers, ce forum infâme où les hackers échangent des comptes de réseaux sociaux volés.

Voici ce qui est fou — il n’avait pas besoin de savoir coder. Il lui suffisait de comprendre les gens. Il utilisait l’ingénierie sociale. Le charme. La pression. La persuasion.

À 16 ans, Graham Ivan Clark maîtrisait le changement de SIM. Pour ceux qui ne savent pas, c’est essentiellement convaincre des employés de la compagnie téléphonique de transférer le numéro de téléphone de quelqu’un sur votre carte SIM. Une fois que vous avez ça, vous contrôlez leurs emails, leurs portefeuilles crypto, leurs comptes bancaires — tout. Une de ses victimes était un capital-risqueur nommé Greg Bennett qui s’est réveillé pour découvrir plus d’un million de dollars en Bitcoin disparu. Les hackers lui ont envoyé un message : « Paye ou on s’en prendra à ta famille. »

L’argent l’a rendu imprudent cependant. Il a commencé à arnaquer ses propres partenaires hackers. Ils l’ont doxxé, sont venus chez lui. Sa vie hors ligne était en spirale — drogues, connexions de gangs, violence réelle. Son ami a été abattu lors d’un deal qui a mal tourné. Il a affirmé ne pas être impliqué et a d’une manière ou d’une autre retrouvé la liberté.

En 2019, la police a perquisitionné son appartement et a trouvé 400 BTC — près de 4 millions de dollars à l’époque. Il a rendu 1 million pour faire disparaître l’affaire. Parce qu’il était mineur, il a légalement gardé le reste. Il avait déjà battu le système une fois.

Puis il a décidé de tenter le coup ultime. Pendant les confinements liés au COVID en 2020, les employés de Twitter travaillaient à domicile. Graham et un autre adolescent se sont fait passer pour un support technique interne. Ils ont appelé des employés, leur ont dit qu’ils devaient réinitialiser leurs identifiants, envoyé de fausses pages de connexion. Des dizaines ont mordu à l’hameçon. Ils ont continué à escalader la structure interne de Twitter jusqu’à trouver un compte « mode Dieu » — un panneau qui leur permettait de réinitialiser n’importe quel mot de passe sur toute la plateforme.

Deux gamins. 130 des comptes les plus puissants au monde. Contrôle total.

Le FBI les a attrapés en deux semaines en utilisant des logs IP, des messages Discord, et des données SIM. Graham a été inculpé de 30 chefs d’accusation de crime grave et risquait jusqu’à 210 ans de prison. Mais comme il était mineur, il a négocié pour seulement 3 ans de détention juvénile plus 3 ans de probation. Il avait 17 ans quand il a piraté Internet. Il en avait 20 quand il est sorti.

Voici la partie qui me dérange vraiment : Graham Ivan Clark est dehors maintenant. Il est libre. Il a de l’argent. Il est intouchable. Et pendant ce temps, X — anciennement Twitter, maintenant sous Elon Musk — est absolument inondé d’arnaques crypto chaque jour. Le même genre d’arnaques qui l’ont rendu riche. La même psychologie qui fonctionne encore sur des millions de personnes.

La vraie leçon ici n’est pas technique. C’est qu’il ne faut pas seulement pirater des systèmes — il faut comprendre que ce sont les gens qu’on brise. L’ingénierie sociale fonctionne parce qu’elle exploite l’émotion : peur, cupidité, confiance. Ce sont ces vulnérabilités-là qui sont bien plus faciles à exploiter que n’importe quel pare-feu.

Donc si tu es dans la crypto ou que tu es actif en ligne, souviens-toi : ne fais pas confiance à l’urgence, ne partage jamais de codes ou d’identifiants, ne suppose pas qu’un compte vérifié est vraiment celui qu’il prétend être, et vérifie toujours les URL avant de te connecter. Le plus gros piratage n’est pas technique — c’est psychologique.

Graham Ivan Clark a prouvé que tu n’as pas besoin de casser le système si tu peux tromper ceux qui le gèrent.