Je viens de voir cette plongée dans Twitter et je n’ai pas pu arrêter de lire — l’histoire de Graham Ivan Clark pourrait être l’un des récits de hacker les plus fous jamais racontés. Pas à cause de zéro-days sophistiqués ou de malwares avancés, mais parce qu’un adolescent fauché de Tampa a littéralement... convaincu des gens de lui donner accès aux comptes les plus puissants sur Internet.

Laissez-moi vous expliquer comment cela s’est réellement produit, car la psychologie ici est folle.

15 juillet 2020. Twitter a implosé. Elon Musk, Obama, Bezos, Apple, Biden — tous postaient la même chose : « Envoyez-moi 1 000 $ en BTC et je vous renverrai 2 000 $ ». La plupart pensaient que c’était une blague. Ce ne l’était pas. En quelques heures, plus de 110 000 $ en Bitcoin ont atterri dans les portefeuilles des attaquants. Twitter a littéralement coupé tous les comptes vérifiés mondialement pour la première fois de l’histoire. Et la personne derrière ? Pas une élite syndicat de hackers russes. Juste un ado de 17 ans avec un téléphone et zéro peur.

Il s’avère que Graham Ivan Clark n’avait pas besoin d’être un génie du codage. Il était quelque chose de plus dangereux — un ingénieur social.

L’histoire de Graham est sombre. Famille brisée en Floride, pas d’argent, pas de perspectives. Alors que la plupart des enfants jouaient simplement, lui, il montait déjà des arnaques dedans — se faire des amis, vendre de fausses objets en jeu, disparaître après le paiement. Lorsqu’il se faisait attraper, il hackait simplement les canaux des accusateurs et supprimait les preuves. À 15 ans, il avait déjà rejoint OGUsers, ce forum sombre notoire où les gens échangent des identifiants de réseaux sociaux volés. Pas besoin de coder. Juste persuasion, pression, et compréhension de la psychologie humaine.

À 16 ans, il a monté en niveau avec le SIM swapping. En gros, il appelait des employés de compagnies téléphoniques, leur faisait croire qu’il était le propriétaire du compte, et leur faisait rediriger le numéro de téléphone de quelqu’un d’autre vers son appareil. Ça paraît simple, non ? Mais cette seule astuce lui donnait accès aux emails, portefeuilles crypto, comptes bancaires. Il ne volait plus seulement des noms d’utilisateur — il volait des vies entières. Un capital-risqueur, Greg Bennett, s’est réveillé pour découvrir plus d’un million de dollars en Bitcoin partis. Les attaquants ont même menacé sa famille.

L’argent a rendu Graham Ivan Clark imprudent. Il a commencé à arnaquer ses propres partenaires hackers. Ils l’ont doxxé. Ils sont venus chez lui. Sa