Une faille de Twitter offre un accès aux comptes dans plus de 3200 apps
- 👨 Alban Martin
- Il y a 2 ans
- 💬 1 com
Dans les pires cas, qui concernent environ 10% des applications touchées, cette erreur permet à un attaquant de prendre le contrôle complet d'un compte Twitter...
La faille de Twitter est de la faute des développeurs
Avant d'expliquer le fonctionnement de la faille, voici les opérations possibles pour un attaquant :
- Lire les messages directs
- Retweeter
- Aimer
- Supprimer un tweet
- Supprimer des followers
- Suivre n'importe quel compte
- Obtenir les paramètres du compte
- Modifier l'image d'affichage
La bonne nouvelle est que les comptes qui peuvent être détournés sont ceux qui appartiennent au développeur de l'application, plutôt qu'à l'utilisateur, mais l'entreprise de cybersécurité affirme que cela représente tout de même un grand danger. En effet, les comptes vérifiés sont souvent piratés pour être utilisés par des robots à des fins de désinformation ou de publicités malveillantes.
Time Berners-Lee, le père fondateur de l'internet, a récemment déclaré qu'il est trop facile pour la désinformation de se propager parce que la plupart des gens obtiennent leurs informations d'un petit ensemble de sites de médias sociaux et de moteurs de recherche qui gagnent de l'argent lorsque les gens cliquent sur les liens. Les algorithmes de ces sites donnent souvent la priorité au contenu en fonction de ce qui est susceptible d'intéresser les gens, ce qui signifie que les fausses nouvelles peuvent "se répandre comme une traînée de poudre."
Un autre risque est que les comptes soient utilisés pour promouvoir des escroqueries, comme celles liées aux crypto-monnaies, très répandues sur Twitter. Ou encore, la divulgation potentielle d'informations sensibles par des attaquants ayant accès aux messages directs.
CloudSek explique les contours de faille qui lié à l'utilisation d'un jeton plutôt qu'aux identifiants classiques :
Lors de l'intégration d'applications mobiles à Twitter, les développeurs reçoivent des clés d'authentification spéciales, ou jetons, qui permettent à leurs applications mobiles d'interagir avec l'API de Twitter. Lorsqu'un utilisateur associe son compte Twitter à cette application mobile, les clés permettent également à l'application d'agir au nom de l'utilisateur, par exemple en le connectant via Twitter, en créant des tweets, en envoyant des DM, etc.
Comme avoir accès à ces clés d'authentification pourrait permettre à n'importe qui d'effectuer des actions en tant qu'utilisateurs Twitter associés, il n'est jamais recommandé de stocker les clés directement dans une application mobile où les acteurs de la menace peuvent les trouver.
CloudSEK explique que la fuite des clés API est généralement le résultat d'erreurs commises par des développeurs d'applications qui intègrent leurs clés d'authentification dans l'API Twitter mais oublient de les supprimer lors de la sortie du mobile.
Parmi les applications concernées, certaines sont extrêmement populaires et comptent des millions d'utilisateurs. Les noms des applications n'ont pas été divulgués, car la plupart des développeurs n'ont toujours pas corrigé le problème un mois après que CloudSEK les ait alertés. Nous mettrons à jour cet article dès que nous aurons mis la main sur la liste des applications en question.
Ce genre d'informations est de plus en plus courante, est-ce que la sécurité de vos données numériques vous inquiète plus qu'avant ?
Télécharger l'app gratuite Twitter