La version Android de Twitter souffre d'une grave faille de sécurité puisqu'un expert en sécurité est parvenu à découvrir les numéros de téléphone de millions d'abonnés à ce réseau social.
au sommaire
Un chercheur en sécurité a découvert un bugbug dans l'applicationapplication AndroidAndroid de TwitterTwitter qui lui a permis de découvrir les numéros de téléphone associés à 17 millions de comptes. Interviewé par TechCrunch, Ibrahim Balic a expliqué comment il est parvenu à abuser du système de téléchargement de contacts de l'application pour dévoiler de nombreux comptes en partant de numéros de téléphone.
Il est parti d'un constat tout simple : « Si vous envoyez votre numéro de téléphone, il récupère les données utilisateur en retour. » Il a donc généré une liste de deux milliards de numéros de téléphone, dans un ordre aléatoire pour déjouer le système. Il les a ensuite téléchargés petit à petit dans l'application Android sur une période de deux mois, et a pu ainsi identifier des comptes en Israël, Turquie, Iran, Grèce, Arménie, France et Allemagne.
Deux failles en une semaine
Le chercheur a partagé sa découverte sur WhatsApp pour tenter de prévenir les utilisateurs concernés directement, dont certains sont des personnalités politiques. Twitter a bloqué les comptes exploitant la faille le 20 décembre et assure travailler sur une solution pour que cela ne puisse plus se produire.
Il s'agit de la deuxième faille en une semaine, le réseau social ayant déjà publié des détails sur un autre problème de sécurité dans l'application Android. Cette seconde faille aurait pu permettre l'insertion de code malveillant pour permettre de prendre le contrôle d'un compte. Twitter conseille aux utilisateurs de mettre à jour l'application.
En bref : 250.000 comptes Twitter « compromis »
Une nouvelle fois, Twitter alerte ses utilisateurs du risque de piratage par récupération des identifiants. La semaine dernière, une attaque « sophistiquée » aurait « compromis » 250.000 comptes.
Publié le 04/02/2013 par Jean-Luc GoudetJean-Luc Goudet
C'est le directeur de la sécurité de Twitter en personne, Bob Lord, qui a publié vendredi un message pour avertir les utilisateurs du service de microblogging. Selon lui, durant la semaine, 250.000 comptes auraient pu être visités par des pirates qui ont réussi à déjouer le système de sécurité.
D'après ce message, l'attaque a bien été repérée, et elle aurait été « sophistiquée », mais personne ne sait ce qu'ont pu faire les visiteurs. Selon Bob Lord, 250.000 comptes auraient été « compromis », les pirates ayant notamment une visibilité des identifiants et des mots de passe. Twitter conseille donc de modifier ces derniers (voir le message du centre d'assistance) et d'en profiter pour les rallonger.
En novembre 2012, de nombreux utilisateurs avaient déjà reçu un courriel leur indiquant que leur compte semblait compromis et qu'il leur fallait changer de mot de passe. Twitter avait ensuite dû présenter ses excuses pour avoir expédié cette alerte à un nombre bien trop grand d'abonnés.