Des chercheurs piratent des comptes Twitter, avec une faille censée être corrigée

Twitter a récemment affirmé avoir corrigé une faille qui permettait d’avoir un contrôle de certains comptes et poster des tweets. Il se trouve que le réseau social n’a pas été tout à fait honnête puisque des chercheurs en sécurité ont réussi à utiliser la faille depuis, alors qu’elle est censée être bouchée.

Un porte-parole de Twitter a déclaré à des journalistes qu’il avait « résolu un bug qui permettait à certains comptes avec un numéro de téléphone britannique d’être ciblés par l’usurpation d’identité par SMS ». Mais au cours d’une conversation avec Gizmodo, les checheurs qui ont envoyé les tweets non autorisés sur des comptes de célébrités ont réussi à reproduire l’expérience après que Twitter a fait sa déclaration.

La faille est liée à une fonctionnalité de Twitter introduite à une époque où les smartphones étaient peu communs. La plateforme proposait (et propose toujours) une fonction pour tweeter par SMS. Tout message envoyé à Twitter à partir du numéro de téléphone associé au compte s’affiche sous forme de tweet. Ce que les chercheurs en sécurité ont réussi à faire est d’usurper les numéros de téléphone, de sorte que les messages qu’ils envoyaient étaient tweetés sur des comptes appartenant à un certain nombre de célébrités et de journalistes.

Ici, les chercheurs ont visé des comptes de célébrités pour faire remarquer le problème au plus grand nombre et alerter une nouvelle fois Twitter. Les détenteurs des comptes ont été prévenus depuis.