ENTREPRENEURS

Un défaut de sécurité ridicule laisse les utilisateurs de Twitters, y compris le PDG Jack Dorsey, vulnérable aux pirates

Si vous utilisez Twitter et que vous avez un téléphone portable, les pirates informatiques pourront peut-être tweeter ce qu'ils veulent de votre compte. Cette chose est arrivée au PDG de Twitter, Jack Dorsey, cette semaine. C'est arrivé à cause d'une vulnérabilité que Twitter aurait dû bloquer il y a des années.

Moins de deux heures plus tard, @TwitterComms a déclaré que le problème était résolu.

Trois heures plus tard, @TwitterComms s'est senti prêt à pointer du doigt l'opérateur de téléphonie mobile de Dorsey comme étant à l'origine du problème.

Eh bien, en quelque sorte. Le problème peut être résolu pour @jack, mais pas pour le reste d'entre nous. Pratiquement tous les utilisateurs de Twitter possédant un téléphone portable pourraient avoir la même chose.

Le problème concerne une société appelée Cloudhopper, acquise par Twitter en 2010. Avec Cloudhopper, Twitter est en mesure d’offrir un petit service astucieux: envoyez un message à 40404 à partir d’un numéro de téléphone portable associé à votre compte Twitter, et ce message apparaît sous forme de tweet à partir de votre correspondant. Poignée Twitter. Il n'est pas nécessaire de vous connecter avec un mot de passe. De nos jours, peu de gens ont probablement besoin de cette fonctionnalité SMS-to-tweet ou l'utilisent, mais cela fonctionne toujours, comme l'a testé un journaliste de CNN. J'ai trouvé que ça marche pour moi aussi.

Le problème, c’est que les numéros de téléphone mobile ne sont pas aussi sûrs qu’ils l’avaient été, ou du moins semblaient-ils l'être, il ya neuf ans. De nos jours, les numéros de téléphone peuvent être et sont usurpés - imités sur Internet - ou volés via un système appelé échange de carte SIM. L'échange de carte SIM consiste à convaincre un opérateur de téléphonie mobile que vous avez un nouveau téléphone ou une nouvelle carte SIM et que vous devez transférer votre numéro de téléphone portable. De plus, le piratage est relativement simple.

La plupart des personnes qui possèdent un compte Twitter et un téléphone mobile sont vulnérables à la même tactique, car Twitter encourage fortement ses utilisateurs à associer leur téléphone mobile à leur compte Twitter. Ironiquement, le première raison Twitter dit que vous devriez faire ceci est "Garder votre compte sécurisé". Le principal outil utilisé est l’authentification à deux facteurs, que Twitter appelle «vérification de la connexion». C'est une idée désormais familière: lorsque vous vous connectez à Twitter - après avoir entré votre mot de passe - vous envoyez un numéro à six chiffres par SMS que vous devez également entrer pour prouver que c'est vraiment vous.

L’authentification à deux facteurs est une excellente idée et renforce effectivement la sécurité, mais comme le terme le suggère, les utilisateurs devraient avoir besoin de deux, et non d’un facteur, pour accéder à un compte. Autoriser des personnes à poster des tweets simplement en envoyant un SMS à partir d'un numéro de téléphone particulier, sans leur demander de saisir également un mot de passe, signifie non seulement que les échangeurs de carte SIM peuvent échanger des tweets sur votre compte, il en va de même pour quiconque vole votre téléphone un moment pendant que vous ne regardez pas.

Étant donné les risques évidents de piratage informatique, vous pourriez penser que Twitter offrirait le SMS à tweet comme une option que les utilisateurs pourraient sélectionner, en s'assurant de bien comprendre les compromis. Ou du moins, offrez-vous un moyen de vous en départir. Mais non, si votre compte est associé à un numéro de téléphone, SMS-to-tweet fonctionne à partir de votre téléphone, que vous le souhaitiez ou non. Comme Twitter Page FAQ SMS explique: "Lorsque vous envoyez un message texte depuis votre téléphone vers votre code Twitter, celui-ci sera toujours publié en tant que Tweet sur votre profil." Pour être clair, "votre code Twitter" signifie 40404.

C'est une faille de sécurité épouvantable et inexcusable, et les utilisateurs de Twitter ne peuvent rien faire à ce sujet. Vous pouvez essayer d’ajouter un code PIN à votre compte d’opérateur mobile - ce qui est une bonne idée dans tous les cas car la permutation de la carte SIM n’est pas souhaitable pour de nombreuses raisons autres que Twitter -, mais tous les opérateurs ne le permettent pas. Vous pouvez essayer de configurer un numéro factice à utiliser avec votre compte Twitter, via Google Voice, par exemple, mais il peut toujours être vulnérable à l'usurpation d'identité.

Et vraiment, ce n’est pas à vous de fermer cette échappatoire. Twitter aurait dû le faire il y a longtemps. Pourquoi la société permettrait-elle à quiconque de tweeter sans mot de passe? Et pourquoi le permet-il encore après le piratage du compte de Dorsey? Je ne peux tout simplement pas penser à une bonne réponse à l'une ou l'autre des questions.

J'ai contacté le représentant de Twitter pour un commentaire. S'ils répondent, je mettrai à jour cette pièce.

Les opinions exprimées ici par les chroniqueurs d’Inc.com sont les leurs, pas celles d’Inc.com.

Tags

Leave a Reply

Your email address will not be published. Required fields are marked *

Close
Close