Twitter révèle qu’une faille de sécurité a mis en danger l’anonymat de plus de 5,4 millions d’internautes. Grâce à cette brèche, il était possible de déterminer l’identité de l’utilisateur derrière un compte. Des pirates ont exploité la vulnérabilité pour voler des données sensibles.
Twitter vient de confirmer l’existence d’une importante faille de sécurité. Dans un communiqué publié sur son site web ce vendredi 5 août 2022, le réseau social révèle qu’une brèche de type zero-day a été exploitée par des pirates informatiques. Il s’agit d’une faille qui n’a pas encore été découverte par les développeurs avant d’être exploitée.
Grâce à cette faille, il était possible de relier un compte Twitter anonyme à un individu. Comme l’explique Twitter, il suffisait « d’entrer un numéro de téléphone ou une adresse e-mail » pour découvrir « si ces informations étaient liées à un compte Twitter existant et, le cas échéant, quel compte spécifique ».
Lire également : Êtes-vous vraiment trop bavard ? Twitter teste un compteur de tweets
Une faille exploitée à l’insu de Twitter
La brèche a été découverte en janvier dernier dans le cadre du programme de prime aux bugs de Twitter. Selon le réseau social, la défaillance a été provoquée par une mise à jour déployée en juin 2021. Lors de la découverte de la faille, aucun élément ne laissait penser que des criminels aient exploité la vulnérabilité. Twitter a promptement corrigé la faille, espérant avoir devancé les cybercriminels.
Malheureusement, un hacker a visiblement exploité la brèche de Twitter avant qu’un correctif ne soit déployé. Comme on vous l’expliquait en juillet, un pirate a mis en vente un fichier comportant les données de 5,4 millions de comptes sur Breached Forums. L’individu a mis en vente les données pour la somme de 30 000 dollars. Interrogé par Bleeping Computer, le hacker, qui se fait appeler Devil sur la toile, assure avoir utilisé la faille pour voler les données.
« Après avoir examiné un échantillon des données disponibles à la vente, nous avons confirmé qu’un acteur malveillant avait profité du problème avant qu’il ne soit résolu », admet Twitter dans son communiqué sur son site web.
Twitter prévient les comptes touchés
Twitter précise qu’aucun mot de passe n’a été subtilisé par les pirates. Parmi les informations piratées, on trouve cependant la position géographique, l’URL du compte, le numéro de téléphone lié, l’adresse mail et la photo de profil.
Dans le communiqué, Twitter s’engage à prévenir tous les internautes touchés par la fuite. Mais, malheureusement, la plate-forme américaine n’est pas « en mesure de confirmer tous les comptes qui ont été potentiellement touchés ». Le réseau social précise se focaliser sur les individus qui pourraient représenter une cible pour des gouvernements ou autres entités.
Le réseau social redoute surtout que des gouvernements autoritaires s’appuient sur ces données pour débusquer les opposants au régime. De nombreux dissidents politiques utilisent en effet Twitter pour communiquer. C’est notamment le cas en Iran, rapportent nos confrères de CyberScoop.
« Si le régime iranien peut obtenir une copie de ces données et ensuite trouver sa cible, peu importe que l’utilisateur supprime le compte dès maintenant parce qu’il sera identifié par numéro de téléphone portable ou par courrier électronique. En fin de compte, c’est un jeu perdu d’avance pour une victime potentielle en Iran car nous ne connaîtrons jamais leur existence. Ils seront arrêtés ou même condamnés à mort », explique Amin Sabeti, spécialiste de la sécurité informatique en Iran.
Dans ces conditions, Twitter recommande aux individus qui souhaitent rester anonymes de « ne pas ajouter de numéro de téléphone ou d’adresse e-mail » à leur compte.
Source :
Twitter