Une nouvelle campagne de phishing, difficile à repérer, détourne les comptes X (anciennement Twitter) de personnalités du secteur des cryptomonnaies en exploitant le système d’autorisation des applications de la plateforme. L’attaque contourne les mots de passe et l’authentification à deux facteurs (2FA), offrant aux fraudeurs un accès complet aux comptes visés.
Le développeur crypto Zak Cole a alerté la communauté via un post publié mercredi sur X, décrivant le fonctionnement de la campagne. Selon lui, l’attaque ne repose pas sur une fausse page de connexion ni sur le vol de mots de passe ; elle s’appuie sur le support d’applications intégré à X pour obtenir l’autorisation d’accéder au compte, tout en contournant la 2FA.
Comment fonctionne l’attaque
Le vecteur d’infection débute par un message direct (DM) contenant un lien qui, à première vue, semble rediriger vers le domaine officiel de Google Calendar. Cette impression de légitimité est renforcée par la prévisualisation générée par X, qui affiche l’URL calendar.google.com grâce aux métadonnées du site cible.
L’adresse réelle du lien est x.ca‑lendar.com, enregistrée samedi. En cliquant, un script JavaScript redirige l’utilisateur vers un point d’authentification X demandant l’autorisation d’une application prétendument nommée « Calendar ». Une inspection technique révèle toutefois que le nom de l’application contient deux caractères cyrilliques ressemblant à un « a » et un « e », ce qui la distingue de l’application officielle et indique une tentative de spoofing.
La page d’autorisation demande alors une série étendue de permissions, incluant le suivi et le désabonnement d’autres comptes, la modification du profil, la création et la suppression de publications, ainsi que l’interaction avec les contenus d’autrui. De telles permissions sont disproportionnées pour une simple application de calendrier et constituent le principal indice d’une attaque de phishing.
Si l’utilisateur accepte, les attaquants obtiennent un contrôle total du compte. La redirection finale mène à calendly.com, ce qui révèle l’incohérence entre le prétendu Google Calendar et le service réel, offrant ainsi une dernière alerte aux utilisateurs vigilants.
Le chercheur en sécurité de MetaMask, Ohm Shah, a confirmé avoir observé ce type d’attaque « in the wild », soulignant qu’il s’agit d’une campagne en pleine expansion. Un modèle OnlyFans a également été ciblé par une version moins sophistiquée du même vecteur.
Zak Cole a rappelé que la campagne vise principalement les comptes vérifiés, les acteurs de l’industrie crypto et les journalistes. Il recommande aux personnes à haut risque de considérer chaque prise de contact comme potentiellement hostile, d’auditer régulièrement les applications connectées et de surveiller toute activité suspecte sur leurs comptes.
Mesures de prévention proposées
- Consulter la page « Applications connectées » de X et révoquer toute application nommée « Calendar » ou suspecte.
- Exiger une vérification rigoureuse des applications avant leur mise en liste, ainsi qu’une re‑validation périodique afin d’empêcher le remplacement d’applications légitimes par des versions malveillantes.
- Améliorer l’écran de consentement en affichant clairement l’éditeur, une identité vérifiée et des métadonnées détaillées pour permettre aux utilisateurs d’effectuer leur propre diligence raisonnable.
- Bloquer les domaines ressemblants à ceux utilisés dans les attaques, comme
x.ca‑lendar.com, et signaler toute application demandant un contrôle complet du compte pour une revue manuelle.
Ces recommandations visent à renforcer la sécurité des comptes X et à réduire l’impact d’une campagne de phishing qui, selon les observations de Blockstream, s’inscrit dans une vague plus large d’attaques par courrier électronique ayant déjà coûté plus de 12 millions de dollars aux utilisateurs en août dernier.
