🔴 Soldes dernière démarque : jusqu'à - 80% ! 🔴 Soldes dernière démarque : jusqu'à - 80% sur le high-tech

Twitter : un lanceur d'alerte révèle que les ingénieurs peuvent tweeter depuis n'importe quel compte

25 janvier 2023 à 14h05
5
twitter privacy © Search Engine journal
© Search Engine journal

Les ingénieurs de Twitter disposeraient d'un outil leur permettant d'accéder à n'importe quel compte et d'y tweeter.

Il s'agirait en fait du fameux « GodMode », au centre en 2020 du hack de comptes de grandes personnalités comme Barack Obama, Jeff Bezos, Bill Gates ou même Elon Musk. Twitter avait à l'époque annoncé avoir pris des dispositions pour résoudre le problème. Ce qui ne serait pas si vrai que ça.

Le GodMode passe au « privileged mode »

Les problèmes de sécurité chez Twitter n'auront semble-t-il jamais de fin. Aujourd'hui, on apprend en effet qu'une vieille fonctionnalité que l'on pensait abolie existe encore au sein du réseau. Il s'agit du « GodMode » qui permettait aux employés de l'entreprise de pouvoir poster à partir de n'importe quel compte et qui avait été utilisé par des adolescents pour mener une escroquerie au Bitcoin.

Selon un lanceur d'alerte qui a témoigné devant la Federal Trade Commission (FTC) et le Sénat américain, cette fonction n'aurait jamais été abolie et persisterait sous le nom de « privileged mode ». Les mesures prises par Twitter à l'époque du scandale se résumeraient selon la même source à retirer l'accès par défaut aux ingénieurs. Ces derniers doivent maintenant changer une ligne de code, en la passant de « faux » à « vrai » pour s'ouvrir le service…

Les ingénieurs peuvent tout faire incognito

Ce témoignage vient appuyer les révélations faites au mois d'août dernier par Peiter Zatko, ancien chef de la sécurité de Twitter, sur les nombreux problèmes rencontrés par le réseau. Il avait à l'époque nié la mise à l'arrêt du GodMode.

Le problème est profond, car si n'importe quel ingénieur est en capacité d'accéder à n'importe quel compte sur la planète (dont, par exemple, ceux des chefs d'État) pour y poster, il pourrait aussi supprimer des messages ou, au contraire, remettre en ligne des tweets supprimés. Le pire est qu'il est impossible pour Twitter de savoir si un employé a utilisé cet accès privilégié.

D'après la même source, la direction aurait préservé la fonctionnalité afin de permettre aux employés de publier pour le compte d'annonceurs incapables de le faire eux-mêmes. Cette décision pourrait se payer cher à un moment où Twitter cherche des revenus. Plusieurs personnes au fait du dossier à la FTC avec qui le Washington Post a pu discuter pensent en effet que le régulateur pourrait infliger une amende de près de 1 milliard de dollars si les accusations se concrétisaient.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
6
StephaneGotcha
Wouhaou la révélation de dingue!<br /> Un administrateur d’un logiciel peut modifier des choses dans ce logiciel/sa base de données! Ça m’en bouche un coin étant moi même développeur et DBA …<br /> Moins ironique, un « logiciel fait exprès » et disponible pour « tout le monde », c’est un peu too much, oui.<br /> Par contre amende de 1 milliard de dollar ?!<br /> Depuis quand tweeter est un médiat/site d’état ?! Si il l’était, pourquoi un milliardaire peut le racheter sans condition ?!
Peggy10Huitres
Wouhaou la révélation de dingue!<br /> Un administrateur d’un logiciel peut modifier des choses dans ce logiciel/sa base de données! Ça m’en bouche un coin étant moi même développeur et DBA …<br /> Clair ! <br /> la direction aurait préservé la fonctionnalité afin de permettre aux employés de publier pour le compte d’annonceurs incapables de le faire eux-mêmes.<br /> le régulateur pourrait infliger une amende de près de 1 milliard de dollars si les accusations se concrétisaient.<br /> Auprès de l’ancienne direction je suppose ?
Valmont69
Le problème, à mon sens, n’est pas que les ingénieurs puissent avoir un accès total à la base de données et à l’application car comme dit plus haut c’est une évidence technique.<br /> Le problème c’est surtout que ces actions ne sont apparemment pas tracées.<br /> Ce type d’action devraient nécessiter un accès de type « Bastion » avec un enregistrement vidéo de toutes les actions opérées.<br /> Bien entendu l’accès aux vidéos enregistrées est lui interdit aux ingés.<br /> Il y a des lois, normes et certifications qui obligent à tracer toutes modifs en base, même lorsqu’il ne s’agit pas de site étatique et ce du moment qu’on parle de données personnelles et/ou bancaires.
Space_Boy
Mais quelle boîte de m… ! Ce « god mode » existe partout (bien obligé), mais c’est réservé à une élite, et audité/tracké à fond pour éviter des abus.
Comcom1
Pas encore coulé cette boite et hop encore un article
tfpsly
StephaneGotcha:<br /> Un administrateur d’un logiciel peut modifier des choses dans ce logiciel/sa base de données! Ça m’en bouche un coin étant moi même développeur et DBA …<br /> L’article dit « les ingés », pas « un admin ». Et si dans ta boite tous les ingés ont accès à toutes les données utilisateurs et peuvent les modifier, c’est que ta boite est vraiment mal gérée.
Voir tous les messages sur le forum

Derniers actualités

Scout, la fusée du
Connaissez-vous les salaires dans la cybercriminalité ? Vous allez être jaloux...
Impressionnée par le succès de ChatGPT, l'Europe veut encadrer l'IA
Soldes Amazon et Cdiscount : TOP 10 des offres folles à saisir ce week-end
Bon plan : profitez dès maintenant des offres avantageuses antivirus et VPN Norton !
Prix fou : CyberGhost vous offre son VPN avec 82% de réduction
Twitch : ces chiffres qui témoignent de l'incroyable succès de la plateforme
Réalisé en partie avec l'IA, cet anime Netflix fait déjà polémique
Nouveaux AirPods Max et AirPods d'entrée de gamme, c'est pour quand ?
Vous avez aimé ChatGPT ? Découvrez CatGPT
Haut de page