Internet

Les DM de Twitter pourraient facilement être volés, selon un expert en sécurité

Je savais… Je devrais quand même annoncer cette nouvelle un jour. Comme Twitter est un site encore plein de failles de sécurité, le moment que nous craignions tous est arrivé : une défaillance peut donner le contrôle des DM envoyés et reçus à des utilisateurs malveillants. Connaissez-vous ces informations secrètes que personne ne devrait connaître ? Attention, cela peut devenir public.

L’alerte a été donnée par Gary-Adam Shann, expert en sécurité qui a analysé comment les applications peuvent interagir avec le service de microblogue bluebird. Selon Shann, il serait très facile d’avoir accès aux DM d’une personne. Pour ce faire, il suffit de créer une application qui nécessite une authentification au sein de Twitter. Dès lors, un utilisateur malveillant pourrait accéder aux DMs bénis et les rendre publics – ou faire ce qu’il veut avec eux, pour dire la vérité.

Contrairement aux dernières défaillances qui ont frappé Twitter et Orkut, ce type d’exploit n’impliquerait pas les techniques XSS, dans lesquelles le code stocké sur un serveur tiers est exécuté par le navigateur à partir d’un tweet ou d’un bout de papier. Au lieu de cela, il faudrait avoir accès à l’API Twitter – qui est publique – la façon dont les applications peuvent extraire des informations du compte de l’utilisateur.

  Twitter enquête sur la faille null retweetou de ses applications

En gros, Shann décrit ce que font déjà des applications comme TweetDeck et Echofon : elles offrent une plus belle interface, mais en explorant les fonctionnalités de Twitter. Avec ces applications, vous pouvez recevoir et envoyer des DM, ce qui prouve que les développeurs peuvent avoir accès à ce type d’informations.

Dans l’exemple du spécialiste de la sécurité, nous avons un plugin pour WordPress qui, une fois modifié, provoquerait toute interaction avec le site faite à partir de l’authentification avec le site web pour aboutir à l’obtention des DM de l’utilisateur. Ces messages directs pourraient être envoyés discrètement à l’adresse électronique du propriétaire du site web, d’une manière très simple.

Twitter ne s’est pas encore exprimé sur le point soulevé par l’expert.

A propos de l'auteur

Zineb

Enseignante en lycée, je m'intéresse à tout ce qui touche aux nouvelles technologies. #teamMac sur PerlmOl (je ne me sépare d'ailleurs jamais non plus de mon Iphone).

Laisser un commentaire