Le réseau social Twitter a fait part d'une faille liée à la fonction « Permettez aux personnes qui ont votre numéro de vous trouver sur Twitter ». L'exploitation de cette vulnérabilité permettait à des hackers de retrouver les numéros de téléphone associés aux comptes de milliers d'utilisateurs. De quoi s'attaquer au système de double authentification qui protège les comptes, et de récupérer des informations sur l'identité des personnes utilisant le réseau social.

Dans un billet de blog publié le lundi 3 février, Twitter concède qu’une faille a été exploitée par des hackers. Ils utilisaient de « larges réseaux de faux comptes pour exploiter [leur] API et lier des identifiants à des numéros de téléphone. » Concrètement, les acteurs malveillants ont utilisé un problème lié à l’option « Permettez aux personnes qui ont votre numéro de vous trouver sur Twitter ». Cette fonctionnalité permet, en temps normal, de télécharger les contacts de son téléphone sur Twitter, afin de retrouver sur le réseau social les identifiants de ses connaissances.

Seulement, en saturant l’API lié à cet outil, il était possible de retrouver les numéros de téléphone liés à d’autres comptes. Twitter n’avait apparemment pas limité le nombre de requêtes que pouvait recevoir son API, et il était possible d’y entrer des millions de numéros à la fois.

Pour décocher la fonction exploitée par les hackers, il faut aller dans Paramètres, puis Confidentialité et Sécurité, puis Détectabilité et Contacts. // Source : Capture d’écran de Twitter

Le premier hacker a été repéré le 24 décembre et ses comptes immédiatement bannis. Mais le réseau social s’est ensuite rendu compte que d’autres personnes avaient des activités suspectes, principalement depuis des adresses IP situées en Israël, en Iran et en Malaisie. « Il est possible que certaines de ces adresses IP soient liées à des acteurs soutenus par des États », précise le réseau social dans son communiqué. Cette faille n’a concerné que les utilisateurs qui avaient activé l’option « Permettez aux personnes qui ont votre numéro de vous trouver sur Twitter », et a depuis été réparée.

Le numéro de téléphone est une donnée cruciale

Le 24 décembre, le chercheur en cybersécurité Ibrahim Balic, avait trouvé les numéros de téléphone liés à 17 millions de comptes Twitter. Pour y parvenir, il avait simplement téléchargé deux milliards de numéros de téléphone (générés aléatoirement) sur l’outil d’import des contacts de Twitter. Sans donner plus de détails techniques, il avait pu lier plusieurs de ces numéros à des comptes d’utilisateurs.

Twitter utilise le numéro de téléphone pour la sécurité du compte

Connaître le numéro de téléphone lié à un compte Twitter ouvre la porte à plusieurs pratiques malveillantes. D’abord, un hacker peut s’en servir pour faire sortir un compte de son anonymat : le numéro de téléphone peut souvent être rattaché à l’identité réelle de la personne, dans la mesure où un justificatif d’identité est demandé par la plupart des opérateurs, hors cartes prépayées. Des comptes de lanceurs d’alertes auraient pu ainsi perdre leur anonymat. Ensuite, le numéro de téléphone est utilisé par Twitter pour la double-authentification par SMS ou par appel. En connaissant ce numéro, un acteur malveillant peut par exemple opérer un Sim Swapping, et lever ainsi une des barrières de sécurité du compte.

Ni l’étendue précise de l’exploitation de la faille ni ses conséquences n’ont été communiquées par Twitter. Le réseau social tempère dans son communiqué la portée des dégâts : « nous rendons cet incident public par abondance de précaution et par principe ».  Mais il s’en excuse tout de même : «  Nous sommes vraiment désolés de ce qui s’est passé. Nous apprécions la confiance que vous nous octroyez, et nous nous engageons à mériter cette confiance chaque jour. » Sauf aujourd’hui, du coup.

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux