Comment X a failli faciliter des opérations de phishing

Le réseau social a voulu remplacer automatiquement l’affichage des liens se terminant en « twitter.com » par des liens en « x.com », sans penser à toutes les organisations dont le nom se termine par un « x ».

Des risques avérés de phishing ont poussé le réseau social X (anciennement Twitter) à mettre fin, le 10 avril 2024, à une campagne de remplacement automatique de noms de liens, démarrée la veille. La plateforme avait en effet commencé à transformer l’affichage des liens se terminant par « twitter.com », en substituant automatiquement à cette fin « x.com ». Son but était de mettre en avant son nouveau nom, à la place de l’ancien.

Mais les responsables de X n’avaient pas pris en compte un important détail : de très nombreuses organisations possèdent un nom se terminant par « x ». Des arnaqueurs auraient donc pu remplacer le « x » final d’une telle structure par un « twitter », et enregistrer un nom de domaine avec cette dénomination. X l’aurait alors automatiquement transformé en un lien de phishing très convaincant, comportant le « vrai » nom de l’organisation cible.

Des experts en cybersécurité ont d’ailleurs immédiatement enregistré, à titre préventif, de nombreux noms de domaine de ce type. Citons par exemple « fedetwitter.com » (transformé en « fedex.com » par l’affichage de X) ou « netflitwitter.com » (pour « netflix.com »). Une soixantaine de ces domaines problématiques affichaient d’ailleurs un message critiquant cette décision, et les risques de sécurité l’accompagnant, commençant par « Êtes-vous sérieux, X ? ».

Devant les plaintes et les moqueries qui s’accumulaient, X a rétropédalé et supprimé dans la précipitation cette fonctionnalité.