Plus de 3000 applications présentent une vulnérabilité compromettant votre compte Twitter

06 août 2022 à 17h50
8
Twitter logo banner #disc

Les cyberattaques sont en hausse et personne n’est épargné, pas même le réseau social Twitter. Les applications connectées au compte peuvent en effet permettre aux hackers d’accéder aux clés d’authentification des utilisateurs et utilisatrices.

Des chercheurs ont révélé lundi 1er août 2022 que plus de 3000 applications comprennent des failles majeures de sécurité permettant de prendre facilement le contrôle d’un compte Twitter. 

3200 applications mettent votre compte Twitter en danger

Gare aux applications que vous liez à votre compte Twitter. L’entreprise experte en cybersécurité CloudSEK a révélé une vulnérabilité importante dans plus de 3200 applications. Cette faille de grande ampleur peut permettre aux pirates d’accéder facilement aux clés d'authentification de l’API pour prendre le contrôle d’un compte Twitter ou récupérer des données personnelles

En un tour de main, un utilisateur mal intentionné peut retweeter, liker ou supprimer des Tweets, suivre n’importe quel compte, changer une photo de profil ou encore accéder aux paramètres utilisateur rien qu’en passant par ces applications associées. Les experts alertent d’ailleurs que si ces vulnérabilités ne sont pas rapidement corrigées, les comptes impactés pourraient servir à créer une armée de faux comptes vérifiés qui pourraient propager des fake news ou des arnaques.

Quels risques avec cette faille ?

Plus concrètement, lors de l’intégration du réseau social dans une application, les développeurs font appel à des tokens qui leur permettent d'interagir avec l’API de Twitter et qui permettent ensuite aux utilisateurs d'interagir avec le réseau social. Une grande majorité des développeurs évitent donc de stocker ces clés d'authentification pour empêcher les pirates de mettre la main dessus, ce que n’ont pas fait ces 3207 applications repérées par les spécialistes.

CloudSEK n'a pas dévoilé publiquement la liste des applications concernées, puisque les développeurs sont actuellement en train de réparer cette faille de sécurité. L’entreprise a néanmoins précisé qu’elles comptabilisent au minimum entre 50 000 et 5 millions de téléchargements. Le panel est varié, allant des applications de transport, de radio, des lecteurs de e-book, des apps de grands journaux, de banques, des GPS pour cyclistes, agendas et bien plus encore.

Pour l’instant, il est recommandé de se déconnecter sur Twitter des applications de ce type et de celles que vous n’utilisez plus afin d’éviter le pire. Pour en connaître la liste, rendez-vous dans les réglages de votre smartphone en passant par « Sécurité », puis « Apps et sessions », puis « Applications connectées ».

Source : BleepingComputer

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
8
5
Bombing_Basta
les comptes impactés pourraient servir à créer une armée de faux comptes vérifiés<br /> Va falloir nous expliquer comment créer une « armée » de comptes « vérifiés » quand seules des personnalité, journalistes, et autres personnes de la haute, peuvent en obtenir un, avec des conditions drastiques que vous-même nous avez présentées :<br /> Clubic.com – 16 Jul 22<br /> Comment obtenir un compte Twitter vérifié<br /> Voilà quelques mois (années ?) que vous êtes en quête du précieux badge bleu sur Twitter ? On vous explique tout.<br /> Un peu de rigueur ?
karmentic
@Bombing Basta S’ils peuvent prendre contrôle de comptes vérifiés via l’API ils peuvent former une armée.<br /> Apprendre à lire ce qui est raconté et arrêter de se prendre pour la police.<br /> Un peu de calme ?
Bombing_Basta
Il est bien marqué créer une armée de faux comptes vérifiés, pas prendre le contrôle d’une armée de comptes vérifiés.<br /> Si on prend le contrôle de comptes vérifiés pour créer une armée, alors ce ne sont pas de « faux » comptes, mais des vrais comptes usurpés.<br /> C’est vrai que j’aurais dû plutôt employer le mot clarté et non rigueur. Merci.
ChezDebarras
ce n’est pas à twitter de blinder son api ?<br /> Comme par exemple ne pas laisser la clé d’authentification seule aux mains des applications.
MattS32
Bah laisser des applications stocker une clé d’authentification, c’est un peu la base si on veut faire une plateforme un minimum ouverte… Sans ça, l’accès à Twitter depuis une application tierce nécessiterait que l’utilisateur s’identifie auprès de Twitter à chaque fois…<br /> C’est aux applications de faire le travail pour sécuriser correctement cette clé. Tout comme on ne reprocherait pas à Twitter une faille de sécurité dans un gestionnaire de mots de passe qui exposerait le mot de passe Twitter.<br /> EDIT : en fait contrairement à ce que dit l’article de Clubic, ce ne sont pas les clés des utilisateurs de l’application qui sont compromises, mais les clés de comptes appartenant aux développeurs/éditeurs, et qui ont été embarquées accidentellement dans les applications, par exemple parce qu’elles y ont été mises « en dur » pendant la phase de test de l’application et qu’ils ont « oublié » de les enlever avant de distribuer.<br /> Le rapport précise aussi que sur les 3200 applications qui laissent fuiter des clés valides, seules 230 laissent fuiter les 4 clés nécessaires pour utiliser toutes les fonctions, et sur ces 230, il n’y en a que 39 où les 4 clés sont valides. Et « certaines » des clés fuitées, sans plus de précision sur le nombre, correspondent à des comptes « vérifiés ».
ChezDebarras
une plateforme ouverte ne veut pas dire que n’importe qui peut entrer, et de surcroît sans vérification.<br /> Ta vérification montre a priori que tweeter n’a pas laissé les accès utilisateurs au premier quidam venu.
MattS32
ChezDebarras:<br /> une plateforme ouverte ne veut pas dire que n’importe qui peut entrer, et de surcroît sans vérification.<br /> Justement non, ils ne laissent pas rentrer n’importe qui sans vérifications, ils laissent entrer ceux qui ont les bonnes clés. Ce n’est pas de leur faute si des gens qui ont les clés n’ont pas sécurisé correctement ces clés…<br /> Ce genre de fuite, c’est comparable au cas où quelqu’un met accidentellement ses identifiants dans un fichier accessible au public. Le problème n’est pas du côté des services auxquels ces identifiants donnent accès, mais bien du côté de l’utilisateur qui n’a pas sécurisé ses identifiants.<br /> Twitter n’est d’ailleurs nullement incriminé à aucun moment dans le rapport. Le problème est uniquement à traiter du côté des applications.
karmentic
C’est exactement ce que dit l’article…
MattS32
Admin:<br /> Plus de 3000 applications présentent une vulnérabilité compromettant votre compte Twitter<br /> Non, dès l’introduction l’article dit que ce sont les comptes Twitter des utilisateurs des applications qui sont exposés : « Les applications connectées au compte peuvent en effet permettre aux hackers d’accéder aux clés d’authentification des utilisateurs et utilisatrices. »<br /> Idem ensuite avec premier sous-titre : « 3200 applications mettent votre compte Twitter en danger »<br /> Et à la fin il dit qu’il est recommandé de se déconnecter de ces applications… Ce qui là encore laisse entendre qu’il y a un risque pour les utilisateurs.<br /> Alors que non, absolument pas, le risque concerne les comptes Twitter des développeurs/éditeurs des applications, qui pourraient être détournés, pas les comptes Twitter des utilisateurs des applications.<br /> Cette dernière recommandation est d’ailleurs un ajout de Clubic, qu’on ne trouve ni dans l’article source, ni dans le rapport de CloudSEK. Et pour cause, comme ce qui est exposé, c’est le compte de l’application, pas celui des utilisateurs de l’application, les utilisateurs n’ont rien de particulier à faire… si ce n’est prendre avec des pincettes tout ce qui est publié sur le compte de l’application.<br /> D’ailleurs, les applications concernées ne sont même pas forcément des applications où l’utilisateur se connecte à son compte Twitter. J’ai téléchargé la seule application concernée qui est citée, « Ford Events », nulle part on ne s’y connecte à son compte Twitter. Par contre elle a une section Twitter qui est censée récupérer le flux des tweets tagés « #BUILTFORPROUD ». C’est les clés du compte API Twitter de Ford qui étaient exposées, en aucun cas des clés de l’utilisateur de l’application.<br /> Et le rapport dit bien que les clés fuitées s’obtiennent en téléchargeant et en décompilant les applications (donc pas de récupération de quoi que ce soit sur les appareils des utilisateurs) : "Once the app gets uploaded to the play store, the API secrets are there for anyone to access. A hacker can simply download the app and decompile it to get the API credentials. "<br /> Et que ça concerne le « compte Twitter de l’application » : « Out of 3207, 230 apps were leaking all the 4 Auth Creds. 39 of the apps had all 4 keys as valid. The Twitter<br /> accounts of these apps could be taken over » (si ça concernait les comptes des utilisateurs, ce serait « The Twitter accounts of these apps users could be taken over »…).<br /> Techniquement, y a aucune raison que des clés d’utilisateurs se retrouvent dans l’exécutable de l’application hébergé sur le Play Store… Une faille concernant les clés d’utilisateurs, ça serait plutôt par exemple si l’application installée sur un appareil allait stocker les clés de l’utilisateur dans un répertoire en libre accès, permettant ainsi à d’autres applications de voler les clés.
Bombing_Basta
Bon du coup l’armée va pas être si grande ^^
Voir tous les messages sur le forum

Derniers actualités

La mémoire Micron GDDR6X à 24 Gbps entre en production de masse
La DDR5-6000
Stadia permet à ses joueurs de streamer un jeu en petit comité
Cet ancien employé de Twitter espionnait les utilisateurs pour le compte de l'Arabie saoudite
Cyberharcèlement : en Europe, les parents protègent moins leurs enfants que dans le reste du monde
Apple déploie la 3e bêta publique d'iOS 16, d'iPadOS 16 et de macOS Ventura
Google veut faire de votre TV votre coach sportif
Taïwan a subi un pic de cybermenaces en marge de la visite de l'Américaine Nancy Pelosi
Ce vidéoprojecteur sera parfait pour vos soirées d'été !
Samsung annonce les Galaxy Watch 5 et ses Gala Buds 2 Pro
Haut de page