Twitter est victime d’une nouvelle fuite de données. En exploitant une faille apparue l’an dernier, des pirates ont siphonné les données personnelles de millions d’internautes. Plus d’un million de Français sont concernés.
Chad Loder, un expert en sécurité informatique de renommée internationale, a découvert « une violation massive des données » concernant « des millions de comptes Twitter ». Dans un thread publié sur Twitter, le chercheur explique avoir des preuves que des comptes européens et américains sont concernés.
Les pirates ont exploité une faille de sécurité dans la fonction « Permettre aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter ». L’option autorise Twitter à se servir de « votre numéro de téléphone afin de permettre à d’autres utilisateurs de découvrir votre compte ». Il est évidemment possible de désactiver cette fonctionnalité en se rendant dans les réglages. Découverte en janvier dernier par le site HackerOne, la faille permettait à un attaquant de lier un numéro de téléphone ou une adresse e-mail à un compte Twitter, mettant en péril l’anonymat des internautes.
Une faille de sécurité apparue en 2021
Apparemment, ces hackers se sont appuyés sur la même faille que les attaquants de l’année dernière. Grâce à cette brèche, introduite par le biais d’une mise à jour en juin 2021, des pirates étaient en effet parvenus à voler les données de 5,4 millions de comptes. La base de données a été mise en vente l’été dernier, avant d’être partagée gratuitement dernièrement. Dans la foulée, Twitter a confirmé l’existence d’une attaque. La plate-forme assurait que la défaillance avait été promptement corrigée par ses équipes.
Le réseau social laissait alors entendre qu’une seule entité a eu connaissance de la faille de sécurité. Chad Loder, qui a comparé les deux bases de données, estime que ce n’est pas le cas. Selon lui, la vulnérabilité a été exploitée par plusieurs groupes d’acteurs malveillants :
« J’ai comparé ces données violées à un échantillon de la violation de données mentionnée dans l’article de 2022. Ce ne sont PAS les mêmes données. Format complètement différent, différents comptes concernés. Probablement plusieurs acteurs qui exploitaient tous les mêmes vulnérabilités en 2021 ».
Le média spécialisé Bleeping Computer abonde dans le même sens. Le média est entré en contact avec le pirate qui partage les 5,4 millions de comptes Twitter sur un forum. Celui-ci affirme ne pas être responsable de cette nouvelle fuite.
Des comptes Twitter français sont concernés
Chad Loder précise que des comptes français sont répertoriés dans la nouvelle base de données découverte. Chaque compte est lié à un numéro de téléphone mobile et à une foule d’informations publiques, y compris le statut vérifié, l’ID Twitter, la biographie et le nom affiché à l’écran. En consultant le fichier, nos confrères de Bleeping Computer ont découvert 1 377 132 numéros de téléphone avec un suffixe +33, qui est relatif à la France.
« L’ensemble de données comprend des comptes vérifiés, des célébrités, des politiciens éminents et des organismes gouvernementaux », poursuit Chad Loder.
Après avoir interrogé une source anonyme, 9to5Mac révèle que presque tous les pays de l’Union européenne sont touchés. C’est aussi le cas du Royaume-Uni et de plusieurs régions des États-Unis.
Les données ont été obtenues grâce à la méthode du scraping. Cette pratique permet d’extraire des données publiques en masse grâce à des programmes informatiques. C’est également de cette manière qu’un pirate a dernièrement volé 487 millions de numéros de téléphone liés à un compte WhatsApp. Twitter empêche généralement les logiciels de scraping d’accéder aux données de ses membres. Malheureusement, la faille apparue l’année dernière a permis aux hackers d’arriver à leurs fins.
Avec l’aide de ces données, les pirates peuvent déployer des campagnes de phishing personnalisées pour voler les identifiants des internautes. On vous recommande de vous montrer prudent si vous recevez un SMS de la part d’un numéro inconnu, surtout si vous avez activé l’option téléphone sur Twitter.
Des comptes Twitter suspendus
Après avoir évoqué la fuite de données sur Twitter, Chad Loder a été suspendu. Le compte de l’expert n’est plus accessible sur la plate-forme. D’après plusieurs internautes, le chercheur, aussi connu pour son militantisme antifasciste, a été ciblé par l’extrême droite. Le compte de Loder aurait été suspendu à la suite d’une pléthore de signalements infondés.
D’autres comptes populaires parmi les militants antifascistes ont subi le même sort, comme le journaliste américain Vishal Pratap Singh. Certains internautes, proches de l’extrême gauche, n’hésitent pas à accuser Elon Musk, nouveau patron de Twitter, de censure, rapportent nos confrères de Newsweek.
Source :
Bleeping Computer