L’entreprise américaine n’a pas pu corriger la vulnérabilité avant que les données ne soient collectées par le pirate.
Le réseau social à l’oiseau bleu est en permanence sous les feux des projecteurs. Tous les médias sont en alerte suite à la décision d’Elon Musk de ne plus se porter acquéreur de Twitter. La firme américaine fait à présent parler d’elle sur un autre volet, celui de la confidentialité et de la sécurité. Une faille majeure a en effet été exploitée par un acteur malveillant et compromet de nombreux comptes.
Les données personnelles en vente
Comme le rapporte le site Bleeping Computer, un pirate aurait pu compiler les informations relatives aux comptes Twitter de plus de 5,4 millions d’utilisateurs. Il aurait ainsi rassemblé les numéros de téléphone, les adresses email et les identifiants de tous ces comptes.
Cette base de données sensibles aurait ensuite été mise en vente sur un forum de pirates informatiques au prix de 30 000 dollars. Des comptes de célébrités, d’entreprises, mais aussi d’internautes aléatoires sont concernés.
Or, grâce à une faille majeure (de type zero day), toutes les personnes qui auraient pu mettre la main sur les données compilées par le pirate, auraient alors pu connaître l’identité de chaque membre se cachant derrière un pseudonyme. En effet, comme l’indique Bleeping Computer, la vulnérabilité permettait de récupérer l’identifiant d’un compte simplement en indiquant l’adresse email et le numéro de téléphone.
À noter que les mots de passe ne sont pas concernés par ce piratage. Les hackers ne pouvaient donc pas accéder aux comptes et mettre en ligne de fausses publications par exemple.
Twitter avertira chaque membre concerné
Le réseau social a officiellement confirmé que cette faille est apparue en juin 2021 suite à une mise à jour. Elle a été mise en lumière en janvier 2022 dans le cadre d’un programme destiné à récompenser tous les spécialistes qui détecteraient d’éventuelles vulnérabilités. En quelques jours, elle était corrigée, mais avait au préalable eu le temps d’être exploitée.
« Après avoir examiné un échantillon des données disponibles à la vente, nous avons confirmé qu’un mauvais acteur avait profité du problème avant qu’il ne soit résolu« , indique alors Twitter dans un communiqué. Et d’ajouter : « Nous informerons directement les propriétaires de compte que nous pouvons confirmer avoir été affectés par ce problème« .
Quelques recommandations pour les comptes anonymes
Twitter apporte quelques conseils pour aider les utilisateurs à mieux se protéger en dépit de l’exploitation de la faille, qu’ils soient potentiellement concernés ou non.
La firme américaine préconise à ce titre aux utilisateurs désireux de conserver leur anonymat de ne pas rattacher leur compte Twitter à un numéro de téléphone ou une adresse email publiquement connue, mais aussi d’activer l’authentification à deux facteurs pour renforcer la sécurité. Des actions qui sont aussi valables pour l’ensemble des membres.