Plus de 3000 applications présentent une vulnérabilité compromettant votre compte Twitter

Publié le 06 août 2022 à 17h50

Les cyberattaques sont en hausse et personne n’est épargné, pas même le réseau social Twitter. Les applications connectées au compte peuvent en effet permettre aux hackers d’accéder aux clés d’authentification des utilisateurs et utilisatrices.

Des chercheurs ont révélé lundi 1^eraoût 2022 que plus de 3000 applications comprennent des failles majeures de sécurité permettant de prendre facilement le contrôle d’un compte Twitter.

3200 applications mettent votre compte Twitter en danger

Gare aux applications que vous liez à votre compte Twitter. L’entreprise experte en cybersécurité CloudSEK a révélé une vulnérabilité importante dans plus de 3200 applications. Cette faille de grande ampleur peut permettre aux pirates d’accéder facilement aux clés d'authentification de l’API pour prendre le contrôle d’un compte Twitter ou récupérer des données personnelles.

En un tour de main, un utilisateur mal intentionné peut retweeter, liker ou supprimer des Tweets, suivre n’importe quel compte, changer une photo de profil ou encore accéder aux paramètres utilisateur rien qu’en passant par ces applications associées. Les experts alertent d’ailleurs que si ces vulnérabilités ne sont pas rapidement corrigées, les comptes impactés pourraient servir à créer une armée de faux comptes vérifiés qui pourraient propager des fake news ou des arnaques.

Quels risques avec cette faille ?

Plus concrètement, lors de l’intégration du réseau social dans une application, les développeurs font appel à des tokens qui leur permettent d'interagir avec l’API de Twitter et qui permettent ensuite aux utilisateurs d'interagir avec le réseau social. Une grande majorité des développeurs évitent donc de stocker ces clés d'authentification pour empêcher les pirates de mettre la main dessus, ce que n’ont pas fait ces 3207 applications repérées par les spécialistes.

CloudSEK n'a pas dévoilé publiquement la liste des applications concernées, puisque les développeurs sont actuellement en train de réparer cette faille de sécurité. L’entreprise a néanmoins précisé qu’elles comptabilisent au minimum entre 50 000 et 5 millions de téléchargements. Le panel est varié, allant des applications de transport, de radio, des lecteurs de e-book, des apps de grands journaux, de banques, des GPS pour cyclistes, agendas et bien plus encore.

Pour l’instant, il est recommandé de se déconnecter sur Twitter des applications de ce type et de celles que vous n’utilisez plus afin d’éviter le pire. Pour en connaître la liste, rendez-vous dans les réglages de votre smartphone en passant par « Sécurité », puis « Apps et sessions », puis « Applications connectées ».

Source : BleepingComputer

Par Noëllie Mautaint

Fan absolue de jeux vidéo bercée par les RPG et les jeux à forte narration. Constituée à 80% de jeux vidéo, mangas, séries, cinéma, livres, musique et nouvelles technologies. Attention, peut mordre si on critique à tort Final Fantasy X et XIII, Kingdom Hearts, The Last of Us, Life is Strange ou Avatar The Last Airbender.

Articles de Noëllie Mautaint

Cybersécurité

X.com (Twitter)

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Bombing_Basta

les comptes impactés pourraient servir à créer une armée de faux comptes vérifiés

Va falloir nous expliquer comment créer une « armée » de comptes « vérifiés » quand seules des personnalité, journalistes, et autres personnes de la haute, peuvent en obtenir un, avec des conditions drastiques que vous-même nous avez présentées :

Un peu de rigueur ?

karmentic

@Bombing Basta S’ils peuvent prendre contrôle de comptes vérifiés via l’API ils peuvent former une armée.
Apprendre à lire ce qui est raconté et arrêter de se prendre pour la police.
Un peu de calme ?

Bombing_Basta

Il est bien marqué créer une armée de faux comptes vérifiés, pas prendre le contrôle d’une armée de comptes vérifiés.

Si on prend le contrôle de comptes vérifiés pour créer une armée, alors ce ne sont pas de « faux » comptes, mais des vrais comptes usurpés.

C’est vrai que j’aurais dû plutôt employer le mot clarté et non rigueur. Merci.

ChezDebarras

ce n’est pas à twitter de blinder son api ?
Comme par exemple ne pas laisser la clé d’authentification seule aux mains des applications.

MattS32

Bah laisser des applications stocker une clé d’authentification, c’est un peu la base si on veut faire une plateforme un minimum ouverte… Sans ça, l’accès à Twitter depuis une application tierce nécessiterait que l’utilisateur s’identifie auprès de Twitter à chaque fois…

C’est aux applications de faire le travail pour sécuriser correctement cette clé. Tout comme on ne reprocherait pas à Twitter une faille de sécurité dans un gestionnaire de mots de passe qui exposerait le mot de passe Twitter.

EDIT : en fait contrairement à ce que dit l’article de Clubic, ce ne sont pas les clés des utilisateurs de l’application qui sont compromises, mais les clés de comptes appartenant aux développeurs/éditeurs, et qui ont été embarquées accidentellement dans les applications, par exemple parce qu’elles y ont été mises « en dur » pendant la phase de test de l’application et qu’ils ont « oublié » de les enlever avant de distribuer.

Le rapport précise aussi que sur les 3200 applications qui laissent fuiter des clés valides, seules 230 laissent fuiter les 4 clés nécessaires pour utiliser toutes les fonctions, et sur ces 230, il n’y en a que 39 où les 4 clés sont valides. Et « certaines » des clés fuitées, sans plus de précision sur le nombre, correspondent à des comptes « vérifiés ».

ChezDebarras

une plateforme ouverte ne veut pas dire que n’importe qui peut entrer, et de surcroît sans vérification.
Ta vérification montre a priori que tweeter n’a pas laissé les accès utilisateurs au premier quidam venu.

MattS32

Justement non, ils ne laissent pas rentrer n’importe qui sans vérifications, ils laissent entrer ceux qui ont les bonnes clés. Ce n’est pas de leur faute si des gens qui ont les clés n’ont pas sécurisé correctement ces clés…

Ce genre de fuite, c’est comparable au cas où quelqu’un met accidentellement ses identifiants dans un fichier accessible au public. Le problème n’est pas du côté des services auxquels ces identifiants donnent accès, mais bien du côté de l’utilisateur qui n’a pas sécurisé ses identifiants.

Twitter n’est d’ailleurs nullement incriminé à aucun moment dans le rapport. Le problème est uniquement à traiter du côté des applications.

karmentic

C’est exactement ce que dit l’article…

MattS32

Non, dès l’introduction l’article dit que ce sont les comptes Twitter des utilisateurs des applications qui sont exposés : « Les applications connectées au compte peuvent en effet permettre aux hackers d’accéder aux clés d’authentification des utilisateurs et utilisatrices. »

Idem ensuite avec premier sous-titre : « 3200 applications mettent votre compte Twitter en danger »

Et à la fin il dit qu’il est recommandé de se déconnecter de ces applications… Ce qui là encore laisse entendre qu’il y a un risque pour les utilisateurs.

Alors que non, absolument pas, le risque concerne les comptes Twitter des développeurs/éditeurs des applications, qui pourraient être détournés, pas les comptes Twitter des utilisateurs des applications.

Cette dernière recommandation est d’ailleurs un ajout de Clubic, qu’on ne trouve ni dans l’article source, ni dans le rapport de CloudSEK. Et pour cause, comme ce qui est exposé, c’est le compte de l’application, pas celui des utilisateurs de l’application, les utilisateurs n’ont rien de particulier à faire… si ce n’est prendre avec des pincettes tout ce qui est publié sur le compte de l’application.

D’ailleurs, les applications concernées ne sont même pas forcément des applications où l’utilisateur se connecte à son compte Twitter. J’ai téléchargé la seule application concernée qui est citée, « Ford Events », nulle part on ne s’y connecte à son compte Twitter. Par contre elle a une section Twitter qui est censée récupérer le flux des tweets tagés « #BUILTFORPROUD ». C’est les clés du compte API Twitter de Ford qui étaient exposées, en aucun cas des clés de l’utilisateur de l’application.

Et le rapport dit bien que les clés fuitées s’obtiennent en téléchargeant et en décompilant les applications (donc pas de récupération de quoi que ce soit sur les appareils des utilisateurs) : "Once the app gets uploaded to the play store, the API secrets are there for anyone to access. A hacker can simply download the app and decompile it to get the API credentials. "

Et que ça concerne le « compte Twitter de l’application » : « Out of 3207, 230 apps were leaking all the 4 Auth Creds. 39 of the apps had all 4 keys as valid. The Twitter
accounts of these apps could be taken over » (si ça concernait les comptes des utilisateurs, ce serait « The Twitter accounts of these apps users could be taken over »…).

Techniquement, y a aucune raison que des clés d’utilisateurs se retrouvent dans l’exécutable de l’application hébergé sur le Play Store… Une faille concernant les clés d’utilisateurs, ça serait plutôt par exemple si l’application installée sur un appareil allait stocker les clés de l’utilisateur dans un répertoire en libre accès, permettant ainsi à d’autres applications de voler les clés.

Bombing_Basta

Bon du coup l’armée va pas être si grande ^^