La double authentification de Twitter est déjà cassée

Plusieurs experts en sécurité ont mis en évidence des failles de sécurité dans la nouvelle procédure d’authentification du site de microblogging.

A peine créé, déjà cassé ? Mercredi dernier, Twitter a introduit une procédure d’authentification en deux étapes, censée améliorer la sécurité du service de microblogging : quand un utilisateur veut se connecter au service, il reçoit en plus un code de confirmation par SMS qu’il doit renseigner. Mais d’après plusieurs experts en sécurité, cette technique présente des failles.

Selon F-Secure, un hacker malveillant peut désactiver l’authentification en deux étapes, simplement en connaissant le numéro de téléphone de l’utilisateur. Il lui suffit d’envoyer un SMS à Twitter avec le mot « STOP », en usurpant le numéro de l’utilisateur (technique dite de « SMS Spoofing »). En effet, Twitter utilise le canal SMS non seulement pour envoyer des codes de sécurité, mais aussi des tweets. Pour ne pas se retrouver avec des frais de roaming exorbitants, l’utilisateur peut suspendre l’envoi de SMS, mais dans ce cas il suspend également la nouvelle procédure d’authentification.

L’utilisateur est enfermé dehors

Inversement, si la vérification par SMS n’est pas activée le hacker malveillant peut, à partir du moment où il dispose d’un accès à votre compte, la mettre en place sur son propre téléphone. Dans ce cas, l’utilisateur n’aura plus du tout accès à son compte, « même s’il change son mot de passe », souligne Sean Sullivan, expert de F-Secure, dans une note de blog.  

Enfin, selon la société Toopher.com, l’authentification en deux étapes ne permet pas de se protéger contre une attaque de type « Man in the middle ». Supposons que l’utilisateur se connecte sur un faux site Twitter, un hacker peut alors récupérer toutes les données de connexion : login, mot de passe et code de confirmation. Toopher, évidemment, prêche pour sa propre paroisse : cette société propose une solution d’authentification basée sur la géolocalisation.

Les différents scénarios imaginés par les chercheurs supposent un minimum de temps et de connaissances techniques. Pas de quoi paniquer donc : l’utilisateur lambda ne devrait pas voir son compte hacké. En revanche, les utilisateurs de comptes Twitter célèbres – tels que les médias – ont davantage de soucis à se faire.  

Sources :

Le blog de F-Secure
La vidéo de Toopher.com

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !