Des pirates ont volé les adresses électroniques de plus de 200 millions d'utilisateurs de Twitter et les ont publiées sur un forum de piratage en ligne, a déclaré mercredi un chercheur en sécurité.

La brèche va malheureusement entraîner beaucoup de piratage, de hameçonnage ciblé et de doxxing, a écrit Alon Gal, cofondateur de la société israélienne de surveillance de la cybersécurité Hudson Rock, sur LinkedIn. Il l'a qualifié de l'une des fuites les plus importantes que j'ai vues.

Twitter n'a pas commenté le rapport, que Gal a d'abord publié sur les médias sociaux le 24 décembre, et n'a pas répondu aux demandes de renseignements sur la violation depuis cette date. Il n'a pas été précisé quelles mesures, le cas échéant, Twitter a prises pour enquêter ou remédier à ce problème.

Reuters n'a pas pu vérifier de manière indépendante que les données figurant sur le forum étaient authentiques et provenaient de Twitter. Des captures d'écran du forum de pirates, où les données sont apparues mercredi, ont circulé en ligne.

Troy Hunt, créateur du site de notification de brèches Have I Been Pwned, a consulté les données divulguées et a déclaré sur Twitter qu'elles correspondaient à peu près à ce qui avait été décrit.

Il n'y avait aucun indice sur l'identité ou la localisation du ou des hackers à l'origine de la brèche. Elle pourrait avoir eu lieu dès 2021, c'est-à-dire avant qu'Elon Musk ne prenne le contrôle de la société l'année dernière.

Les déclarations sur la taille et l'étendue de la violation variaient initialement, les premiers comptes de décembre affirmant que 400 millions d'adresses électroniques et de numéros de téléphone avaient été volés.

Une violation majeure chez Twitter pourrait intéresser les régulateurs des deux côtés de l'Atlantique. La Commission de protection des données d'Irlande, où Twitter a son siège européen, et la Commission fédérale du commerce des États-Unis ont contrôlé la société appartenant à Elon Musk pour vérifier qu'elle se conforme aux règles européennes de protection des données et à une ordonnance de consentement américaine, respectivement.

Les messages laissés aux deux régulateurs n'ont pas été immédiatement retournés jeudi. (Reportage de Raphael Satter à Londres ; Montage de Cynthia Osterman)