Si vous prenez soin de votre vie privée, vous prenez certainement soin d’empêcher que votre numéro de téléphone ne soit rendu public sur les réseaux sociaux. Mais un expert en sécurité nommé Ibrahim Balic a découvert une faille dans le Twitter à Android qui a permis la découverte de cette information.
Twitter dispose d’une fonction qui permet à l’utilisateur de synchroniser le service avec la liste de contacts existante sur son téléphone. C’est un moyen de trouver, sur le réseau social, des personnes que vous connaissez déjà.
Les problèmes commencent là. Balic a découvert que cette fonction permet de synchroniser des listes géantes de numéros de téléphone. Il a alors décidé de générer des séquences au format des numéros de téléphone et a téléchargé cette liste pour savoir si l’action aboutirait à des correspondances.
Plus de deux milliards de chiffres ont été générés. Balic a réalisé que Twitter ne permet pas la synchronisation de listes de nombres séquentielles, il a donc simplement mélangé l’ordre des nombres et a réessayé. Bingo !
Après la synchronisation, Twitter indique quels numéros de la liste correspondent à des profils existants sur le réseau social. Grâce à cela, Balic affirme avoir pu découvrir, en deux mois, le numéro de téléphone de plus de 17 millions d’utilisateurs de différents pays, tels que l’Allemagne, la France, la Grèce et la Turquie.
Parmi ces 17 millions de comptes figuraient des profils d’autorités et de personnalités politiques, juste pour vous donner une idée de la gravité du problème.
Ibrahim Balic n’a pas notifié directement Twitter de sa découverte. Il a plutôt choisi de créer un groupe WhatsApp pour notifier certains des utilisateurs dont les numéros de portable ont été identifiés à partir de la masse.
Pour ceux d’entre vous qui étaient inquiets, la bonne nouvelle est que le truc ne fonctionne plus. Twitter a découvert la faille (probablement que les utilisateurs contactés ont signalé le problème) et a mis en place une correction le 20 dernier. La société affirme également que les comptes utilisés pour exploiter la vulnérabilité ont été suspendus.
