Les cyberattaques sont en hausse et personne n’est épargné, pas même le réseau social Twitter. Les applications connectées au compte peuvent en effet permettre aux hackers d’accéder aux clés d’authentification des utilisateurs et utilisatrices.
les comptes impactés pourraient servir à créer une armée de faux comptes vérifiés
Va falloir nous expliquer comment créer une « armée » de comptes « vérifiés » quand seules des personnalité, journalistes, et autres personnes de la haute, peuvent en obtenir un, avec des conditions drastiques que vous-même nous avez présentées :
Un peu de rigueur ?
1 « J'aime »
@Bombing Basta S’ils peuvent prendre contrôle de comptes vérifiés via l’API ils peuvent former une armée.
Apprendre à lire ce qui est raconté et arrêter de se prendre pour la police.
Un peu de calme ?
1 « J'aime »
Il est bien marqué créer une armée de faux comptes vérifiés, pas prendre le contrôle d’une armée de comptes vérifiés.
Si on prend le contrôle de comptes vérifiés pour créer une armée, alors ce ne sont pas de « faux » comptes, mais des vrais comptes usurpés.
C’est vrai que j’aurais dû plutôt employer le mot clarté et non rigueur. Merci.
1 « J'aime »
ce n’est pas à twitter de blinder son api ?
Comme par exemple ne pas laisser la clé d’authentification seule aux mains des applications.
Bah laisser des applications stocker une clé d’authentification, c’est un peu la base si on veut faire une plateforme un minimum ouverte… Sans ça, l’accès à Twitter depuis une application tierce nécessiterait que l’utilisateur s’identifie auprès de Twitter à chaque fois…
C’est aux applications de faire le travail pour sécuriser correctement cette clé. Tout comme on ne reprocherait pas à Twitter une faille de sécurité dans un gestionnaire de mots de passe qui exposerait le mot de passe Twitter.
EDIT : en fait contrairement à ce que dit l’article de Clubic, ce ne sont pas les clés des utilisateurs de l’application qui sont compromises, mais les clés de comptes appartenant aux développeurs/éditeurs, et qui ont été embarquées accidentellement dans les applications, par exemple parce qu’elles y ont été mises « en dur » pendant la phase de test de l’application et qu’ils ont « oublié » de les enlever avant de distribuer.
Le rapport précise aussi que sur les 3200 applications qui laissent fuiter des clés valides, seules 230 laissent fuiter les 4 clés nécessaires pour utiliser toutes les fonctions, et sur ces 230, il n’y en a que 39 où les 4 clés sont valides. Et « certaines » des clés fuitées, sans plus de précision sur le nombre, correspondent à des comptes « vérifiés ».
une plateforme ouverte ne veut pas dire que n’importe qui peut entrer, et de surcroît sans vérification.
Ta vérification montre a priori que tweeter n’a pas laissé les accès utilisateurs au premier quidam venu.
Justement non, ils ne laissent pas rentrer n’importe qui sans vérifications, ils laissent entrer ceux qui ont les bonnes clés. Ce n’est pas de leur faute si des gens qui ont les clés n’ont pas sécurisé correctement ces clés…
Ce genre de fuite, c’est comparable au cas où quelqu’un met accidentellement ses identifiants dans un fichier accessible au public. Le problème n’est pas du côté des services auxquels ces identifiants donnent accès, mais bien du côté de l’utilisateur qui n’a pas sécurisé ses identifiants.
Twitter n’est d’ailleurs nullement incriminé à aucun moment dans le rapport. Le problème est uniquement à traiter du côté des applications.
C’est exactement ce que dit l’article…
Non, dès l’introduction l’article dit que ce sont les comptes Twitter des utilisateurs des applications qui sont exposés : « Les applications connectées au compte peuvent en effet permettre aux hackers d’accéder aux clés d’authentification des utilisateurs et utilisatrices. »
Idem ensuite avec premier sous-titre : « 3200 applications mettent votre compte Twitter en danger »
Et à la fin il dit qu’il est recommandé de se déconnecter de ces applications… Ce qui là encore laisse entendre qu’il y a un risque pour les utilisateurs.
Alors que non, absolument pas, le risque concerne les comptes Twitter des développeurs/éditeurs des applications, qui pourraient être détournés, pas les comptes Twitter des utilisateurs des applications.
Cette dernière recommandation est d’ailleurs un ajout de Clubic, qu’on ne trouve ni dans l’article source, ni dans le rapport de CloudSEK. Et pour cause, comme ce qui est exposé, c’est le compte de l’application, pas celui des utilisateurs de l’application, les utilisateurs n’ont rien de particulier à faire… si ce n’est prendre avec des pincettes tout ce qui est publié sur le compte de l’application.
D’ailleurs, les applications concernées ne sont même pas forcément des applications où l’utilisateur se connecte à son compte Twitter. J’ai téléchargé la seule application concernée qui est citée, « Ford Events », nulle part on ne s’y connecte à son compte Twitter. Par contre elle a une section Twitter qui est censée récupérer le flux des tweets tagés « #BUILTFORPROUD ». C’est les clés du compte API Twitter de Ford qui étaient exposées, en aucun cas des clés de l’utilisateur de l’application.
Et le rapport dit bien que les clés fuitées s’obtiennent en téléchargeant et en décompilant les applications (donc pas de récupération de quoi que ce soit sur les appareils des utilisateurs) : "Once the app gets uploaded to the play store, the API secrets are there for anyone to access. A hacker can simply download the app and decompile it to get the API credentials. "
Et que ça concerne le « compte Twitter de l’application » : « Out of 3207, 230 apps were leaking all the 4 Auth Creds. 39 of the apps had all 4 keys as valid. The Twitter
accounts of these apps could be taken over » (si ça concernait les comptes des utilisateurs, ce serait « The Twitter accounts of these apps users could be taken over »…).
Techniquement, y a aucune raison que des clés d’utilisateurs se retrouvent dans l’exécutable de l’application hébergé sur le Play Store… Une faille concernant les clés d’utilisateurs, ça serait plutôt par exemple si l’application installée sur un appareil allait stocker les clés de l’utilisateur dans un répertoire en libre accès, permettant ainsi à d’autres applications de voler les clés.
Bon du coup l’armée va pas être si grande ^^