Twitter : un lanceur d'alerte révèle que les ingénieurs peuvent tweeter depuis n'importe quel compte

Publié le 25 janvier 2023 à 14h05

Les ingénieurs de Twitter disposeraient d'un outil leur permettant d'accéder à n'importe quel compte et d'y tweeter.

Il s'agirait en fait du fameux « GodMode », au centre en 2020 du hack de comptes de grandes personnalités comme Barack Obama, Jeff Bezos, Bill Gates ou même Elon Musk. Twitter avait à l'époque annoncé avoir pris des dispositions pour résoudre le problème. Ce qui ne serait pas si vrai que ça.

Le GodMode passe au « privileged mode »

Les problèmes de sécurité chez Twitter n'auront semble-t-il jamais de fin. Aujourd'hui, on apprend en effet qu'une vieille fonctionnalité que l'on pensait abolie existe encore au sein du réseau. Il s'agit du « GodMode » qui permettait aux employés de l'entreprise de pouvoir poster à partir de n'importe quel compte et qui avait été utilisé par des adolescents pour mener une escroquerie au Bitcoin.

Selon un lanceur d'alerte qui a témoigné devant la Federal Trade Commission (FTC) et le Sénat américain, cette fonction n'aurait jamais été abolie et persisterait sous le nom de « privileged mode ». Les mesures prises par Twitter à l'époque du scandale se résumeraient selon la même source à retirer l'accès par défaut aux ingénieurs. Ces derniers doivent maintenant changer une ligne de code, en la passant de « faux » à « vrai » pour s'ouvrir le service…

Les ingénieurs peuvent tout faire incognito

Ce témoignage vient appuyer les révélations faites au mois d'août dernier par Peiter Zatko, ancien chef de la sécurité de Twitter, sur les nombreux problèmes rencontrés par le réseau. Il avait à l'époque nié la mise à l'arrêt du GodMode.

Le problème est profond, car si n'importe quel ingénieur est en capacité d'accéder à n'importe quel compte sur la planète (dont, par exemple, ceux des chefs d'État) pour y poster, il pourrait aussi supprimer des messages ou, au contraire, remettre en ligne des tweets supprimés. Le pire est qu'il est impossible pour Twitter de savoir si un employé a utilisé cet accès privilégié.

D'après la même source, la direction aurait préservé la fonctionnalité afin de permettre aux employés de publier pour le compte d'annonceurs incapables de le faire eux-mêmes. Cette décision pourrait se payer cher à un moment où Twitter cherche des revenus. Plusieurs personnes au fait du dossier à la FTC avec qui le Washington Post a pu discuter pensent en effet que le régulateur pourrait infliger une amende de près de 1 milliard de dollars si les accusations se concrétisaient.

Sources : Engagdet, Washington Post

Par Samir Rahmoune

X.com (Twitter)

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (5)

StephaneGotcha

Wouhaou la révélation de dingue!
Un administrateur d’un logiciel peut modifier des choses dans ce logiciel/sa base de données! Ça m’en bouche un coin étant moi même développeur et DBA …

Moins ironique, un « logiciel fait exprès » et disponible pour « tout le monde », c’est un peu too much, oui.

Par contre amende de 1 milliard de dollar ?!
Depuis quand tweeter est un médiat/site d’état ?! Si il l’était, pourquoi un milliardaire peut le racheter sans condition ?!

Valmont69

Le problème, à mon sens, n’est pas que les ingénieurs puissent avoir un accès total à la base de données et à l’application car comme dit plus haut c’est une évidence technique.
Le problème c’est surtout que ces actions ne sont apparemment pas tracées.
Ce type d’action devraient nécessiter un accès de type « Bastion » avec un enregistrement vidéo de toutes les actions opérées.
Bien entendu l’accès aux vidéos enregistrées est lui interdit aux ingés.

Il y a des lois, normes et certifications qui obligent à tracer toutes modifs en base, même lorsqu’il ne s’agit pas de site étatique et ce du moment qu’on parle de données personnelles et/ou bancaires.

Space_Boy

Mais quelle boîte de m… ! Ce « god mode » existe partout (bien obligé), mais c’est réservé à une élite, et audité/tracké à fond pour éviter des abus.

Comcom1

Pas encore coulé cette boite et hop encore un article

tfpsly

L’article dit « les ingés », pas « un admin ». Et si dans ta boite tous les ingés ont accès à toutes les données utilisateurs et peuvent les modifier, c’est que ta boite est vraiment mal gérée.