Twitter : un lanceur d'alerte révèle que les ingénieurs peuvent tweeter depuis n'importe quel compte

Samir Rahmoune
25 janvier 2023 à 14h05
5
© Search Engine journal
© Search Engine journal

Les ingénieurs de Twitter disposeraient d'un outil leur permettant d'accéder à n'importe quel compte et d'y tweeter.

Il s'agirait en fait du fameux « GodMode », au centre en 2020 du hack de comptes de grandes personnalités comme Barack Obama, Jeff Bezos, Bill Gates ou même Elon Musk. Twitter avait à l'époque annoncé avoir pris des dispositions pour résoudre le problème. Ce qui ne serait pas si vrai que ça.

Le GodMode passe au « privileged mode »

Les problèmes de sécurité chez Twitter n'auront semble-t-il jamais de fin. Aujourd'hui, on apprend en effet qu'une vieille fonctionnalité que l'on pensait abolie existe encore au sein du réseau. Il s'agit du « GodMode » qui permettait aux employés de l'entreprise de pouvoir poster à partir de n'importe quel compte et qui avait été utilisé par des adolescents pour mener une escroquerie au Bitcoin.

Selon un lanceur d'alerte qui a témoigné devant la Federal Trade Commission (FTC) et le Sénat américain, cette fonction n'aurait jamais été abolie et persisterait sous le nom de « privileged mode ». Les mesures prises par Twitter à l'époque du scandale se résumeraient selon la même source à retirer l'accès par défaut aux ingénieurs. Ces derniers doivent maintenant changer une ligne de code, en la passant de « faux » à « vrai » pour s'ouvrir le service…

Les ingénieurs peuvent tout faire incognito

Ce témoignage vient appuyer les révélations faites au mois d'août dernier par Peiter Zatko, ancien chef de la sécurité de Twitter, sur les nombreux problèmes rencontrés par le réseau. Il avait à l'époque nié la mise à l'arrêt du GodMode.

Le problème est profond, car si n'importe quel ingénieur est en capacité d'accéder à n'importe quel compte sur la planète (dont, par exemple, ceux des chefs d'État) pour y poster, il pourrait aussi supprimer des messages ou, au contraire, remettre en ligne des tweets supprimés. Le pire est qu'il est impossible pour Twitter de savoir si un employé a utilisé cet accès privilégié.

D'après la même source, la direction aurait préservé la fonctionnalité afin de permettre aux employés de publier pour le compte d'annonceurs incapables de le faire eux-mêmes. Cette décision pourrait se payer cher à un moment où Twitter cherche des revenus. Plusieurs personnes au fait du dossier à la FTC avec qui le Washington Post a pu discuter pensent en effet que le régulateur pourrait infliger une amende de près de 1 milliard de dollars si les accusations se concrétisaient.

Sources : Engagdet, Washington Post

Samir Rahmoune

Samir Rahmoune

Journaliste tech, spécialisé dans l'impact des hautes technologies sur les relations internationales. Je suis passionné par toutes les nouveautés dans le domaine (Blockchain, IA, quantique...), les q...

Lire d'autres articles

Journaliste tech, spécialisé dans l'impact des hautes technologies sur les relations internationales. Je suis passionné par toutes les nouveautés dans le domaine (Blockchain, IA, quantique...), les questions énergétiques, et l'astronomie. Souvent un pied en Asie, et toujours prêt à enfiler les gants.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (5)

StephaneGotcha
Wouhaou la révélation de dingue!<br /> Un administrateur d’un logiciel peut modifier des choses dans ce logiciel/sa base de données! Ça m’en bouche un coin étant moi même développeur et DBA …<br /> Moins ironique, un « logiciel fait exprès » et disponible pour « tout le monde », c’est un peu too much, oui.<br /> Par contre amende de 1 milliard de dollar ?!<br /> Depuis quand tweeter est un médiat/site d’état ?! Si il l’était, pourquoi un milliardaire peut le racheter sans condition ?!
Valmont69
Le problème, à mon sens, n’est pas que les ingénieurs puissent avoir un accès total à la base de données et à l’application car comme dit plus haut c’est une évidence technique.<br /> Le problème c’est surtout que ces actions ne sont apparemment pas tracées.<br /> Ce type d’action devraient nécessiter un accès de type « Bastion » avec un enregistrement vidéo de toutes les actions opérées.<br /> Bien entendu l’accès aux vidéos enregistrées est lui interdit aux ingés.<br /> Il y a des lois, normes et certifications qui obligent à tracer toutes modifs en base, même lorsqu’il ne s’agit pas de site étatique et ce du moment qu’on parle de données personnelles et/ou bancaires.
Space_Boy
Mais quelle boîte de m… ! Ce « god mode » existe partout (bien obligé), mais c’est réservé à une élite, et audité/tracké à fond pour éviter des abus.
Comcom1
Pas encore coulé cette boite et hop encore un article
tfpsly
StephaneGotcha:<br /> Un administrateur d’un logiciel peut modifier des choses dans ce logiciel/sa base de données! Ça m’en bouche un coin étant moi même développeur et DBA …<br /> L’article dit « les ingés », pas « un admin ». Et si dans ta boite tous les ingés ont accès à toutes les données utilisateurs et peuvent les modifier, c’est que ta boite est vraiment mal gérée.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Musk prévoit de se débarrasser de 75 % des salariés de Twitter, s'il finit par l'acheter Musk prévoit de se débarrasser de 75 % des salariés de Twitter, s'il finit par l'acheter
Frustré par le programme de « bug bounty » d’Apple, un chercheur rend publiques quatre zero-day Frustré par le programme de « bug bounty » d’Apple, un chercheur rend publiques quatre zero-day
Twitter : un abonnement pour avoir le droit d'annuler ses tweets ? Twitter : un abonnement pour avoir le droit d'annuler ses tweets ?
Facebook Papers : pourquoi nous devrions tous quitter Facebook (mais vous faites ce que vous voulez, hein) Facebook Papers : pourquoi nous devrions tous quitter Facebook (mais vous faites ce que vous voulez, hein)
Twitter : bientôt la possibilité d'annuler un tweet ? Twitter : bientôt la possibilité d'annuler un tweet ?