Twitter : une faille présente dans plus de 3200 applications permet de pirater facilement votre compte

Gare aux applications qui se connectent à votre compte Twitter, elles peuvent être une véritable mine d’or pour les pirates. En effet, les chercheurs en cybersécurité de CloudSEK ont découvert une faille présente dans plus de 3200 applications qui permet tout simplement d’accéder aux clés d’authentification des utilisateurs. Malgré l’alerte, la plupart d’entre elles n’ont pas encore corrigé la vulnérabilité.

Une nouvelle découverte des experts en cybersécurité de CloudSEK fait froid dans le dos. Selon leurs estimations, au moins 3207 applications pour smartphones renferment une faille permettant à n’importe quel pirate de prendre aisément le contrôle du compte Twitter des utilisateurs. Les chercheurs expliquent ainsi que lors du processus d’intégration de Twitter dans une application, les développeurs disposent de clés d’authentification, aussi appelées tokens, qui leur permettent d’interagir avec l’API du réseau social.

Ce sont ces tokens qui permettent notamment aux utilisateurs finaux d’interagir avec Twitter, que ce soit pour se connecter ou publier des tweets, etc. Autrement dit, ces tokens sont extrêmement puissants et, par conséquent, particulièrement dangereux si un individu malintentionné en prend possession. Voilà pourquoi la grande majorité des développeurs ne stockent pas leurs tokens au sein même de leurs applications, afin d’éviter que des pirates ne les retrouvent en fouillant dans le code source.

Sur le même sujet : Twitter écope d’une amende de 140 millions d’euros pour avoir espionné ses utilisateurs en les manipulant

Ces 3207 applications mettent en danger votre compte Twitter

Néanmoins, il arrive que certains d’entre eux oublient tout simplement de les retirer avant de rendre disponible leur application. C’est donc ce qu’il s’est (probablement) passé avec ces 3207 applications. CloudSEK souligne que ces dernières comptabilisent en 50 000 et 5 millions de téléchargements. L’organisme n’a pas souhaité partager la liste complète, car la grande majorité d’entre elles n’a pas encore corrigé la faille de sécurité.

Toutefois, il précise qu’il s’agit d’applications de transports, de journaux, de banques, de radio, de liseuses, ou encore d’agendas. Si vous possédez ce type d’applications et que votre compte Twitter y est associé, on vous recommande chaudement de vous déconnecter pour éviter le pire. CloudSEK alerte quant aux risques encourus si la brèche n’est pas refermée, citant notamment la possibilité qu’une armée de faux comptes vérifiés par Twitter propage des arnaques ou des fake news, alors même que celles-ci ont disparu à 73 % du réseau social ces derniers mois.