Hacker Croll alias François Cousteix est un autodidacte français qui s'est fait connaître pour avoir piraté Twitter en . Il était en contact étroit avec les journalistes de TechCrunch qui ont publié de nombreux articles sur les informations obtenues et sur l'incident lui-même[1]. Il n'avait aucune intention malveillante et, alors qu'il aurait pu, n'a causé aucune interruption dans le service. Il est resté anonyme jusqu'à son arrestation en [2].
L'attaque
Croll a réussi à accéder à de nombreux comptes Internet de cadres haut placés sur Twitter. Ce qui a rendu facile une telle infiltration, c'est que les mots de passe et les noms d'utilisateur de ses cibles étaient les mêmes à la fois pour les comptes personnels et les comptes professionnels. Il en a résulté un effet boule de neige à la suite duquel tous leurs comptes ont été piratés, jusqu'à leurs comptes PayPal et iTunes. Il a obtenu plus de 300 pages de documents sensibles, y compris des projections financières de Twitter[3] et des notes de réunion[4].
Rapports sur TechCrunch
TechCrunch a commencé par signaler le piratage qui comprenait une capture d'écran de la page Facebook du fondateur de Twitter, Evan Williams, avec des spéculations concernant l'ampleur réelle de l'attaque du . On y trouve une déclaration de Williams qui disait : « Cela ne concernait en rien la sécurité de twitter.com »[5]. Il semble que Croll ait craint que Twitter n'eût pas compris le danger de l'attaque et il envoya tous les documents qu'il s'était procurés à TechCrunch, lequel en publia ensuite une sélection significative. Un article plus détaillé décrivit les détails de l'attaque quelques jours plus tard, après que TechCrunch eut interviewé le fameux Croll.
Lettre à Twitter
Quand TechCrunch lui demanda s'il y avait un message qu'il souhaitait envoyer à Twitter, il répondit par une lettre d'excuse très polie où il encourageait la société à faire preuve de plus de prudence dans les questions de sécurité.
« Je tiens à présenter toutes mes excuses au personnel de Twitter. Je trouve que cette société a beaucoup d'avenir devant elle.
J'ai fait cela dans un but non lucratif. La sécurité est un domaine qui me passionne depuis de longues années et je voudrais en faire mon métier. Dans mon quotidien, il m'arrive d'aider des gens à se prémunir contre les dangers de l'internet. Je leur apprends (sic) les règles de base. Par exemple, faire attention où on clique, les fichiers que l'on télécharge et ce que l'on tape au clavier. S'assurer que l'ordinateur est équipé d'une protection efficace contre les virus, attaques extérieures, spam, hameçonnage… Mettre à jour le système d'exploitation, les logiciels fréquemment utilisés… Penser à utiliser des mots de passe sans aucune similitude entre eux. Penser à les changer régulièrement… Ne jamais stocker d'informations confidentielles sur l'ordinateur…
J'espère que mes interventions répétées auront permis de montrer à quel point il peut être facile à une personne mal intentionnée d'accéder à des informations sensibles sans trop de connaissances. »