Twitter : une faille dans le système de tweet par SMS

Un expert en sécurité a relevé une faille dans le système de tweet par SMS de la plateforme de microblogging Twitter : cette dernière permettait à un intrus de poster des messages sur un compte dont il connaissait le numéro de téléphone associé. Un problème rapidement corrigé par la plateforme.

Jusqu'à mardi, les utilisateurs de Twitter avec la fonction SMS activée sur leur compte étaient vulnérables à une attaque, basée sur l'usurpation du numéro de téléphone via une « passerelle » permettant de le changer lors de l'envoi d'un SMS. Jonathan Rudenberg, l'expert à l'origine de la découverte, explique que ce type de service est suffisamment courant et simple à utiliser pour ne mettre aucun utilisateur à l'abri. Lorsqu'un pirate connaissait le numéro de téléphone mobile lié à un compte spécifique, il pouvait, par le biais de ce type de service permettant d'usurper l'identité téléphonique de quelqu'un, non seulement tweeter, mais aussi changer les paramètres du compte.

Sur son blog, Jonathan Rudenberg explique avoir détecté le même problème chez Facebook. Le consultant en sécurité a contacté les deux plateformes en même temps en août dernier : si Facebook a confirmé, la semaine dernière, avoir corrigé la faille, Twitter n'avait de son côté pas donné de réponse. Comme souvent, il aura fallu que Rudenberg dévoile publiquement le problème pour que le service réagisse en quelques heures et en annonce la correction.