Le chiffre hebdo, Réseaux Sociaux
Published on 11 août 2022

Les données de 5,4 millions de comptes Twitter en vente sur Internet

written by Alchimia Communication
Image : ©Canva

Coup dur pour les twittos ! Pendant plusieurs mois, une vulnérabilité dans le code de Twitter a permis de révéler les liens entre un numéro de téléphone ou une adresse e-mail et un compte Twitter, détaille le réseau social le 5 août 2022. Une liste comprenant 5,4 millions de comptes Twitter est en vente sur Internet, selon RestorePrivacy, qui a rapporté l’information dans un premier temps.

Une faille apparue en juin 2021

Dans son poste de blog, le réseau social explique avoir appris l’existence de cette vulnérabilité après enquête, le problème venant d’une mise à jour du code de Twitter datant de juin 2021. Il affirme « ne pas avoir de preuve qu’une personne ait pu exploiter cette vulnérabilité ». Cependant, tout le monde ne semble pas d’accord avec ces propos. Selon Bleeping Computer, cette faille est reliée à une énorme base de données en vente sur un forum spécialisé.

Twitter indique avoir appris en juillet 2021, via des articles de presse, que quelqu’un avait profité de cette faille pour collecter des données. Le pirate en question, qui se fait appeler « devil », propose une base de données avec les identifiants de plus de 5,4 millions de comptes contre la somme de 30 000 dollars. Il précise que les comptes « vont de ceux de célébrités à ceux d’entreprises en passant par des comptes au hasard, comptes originaux, etc. ».

Selon The Verge, il est néanmoins possible que le problème aille bien au-delà de ces quelques millions de comptes. En effet, à cause de la méthode employée, il est très difficile pour Twitter de confirmer quels comptes ont pu ainsi être compromis. Pour RestorePrivacy, le bug concerne uniquement les personnes utilisant l’application sur Android. Même si Twitter va notifier les comptes atteints de source sûre par cette faille de sécurité, le réseau social précise ne pas être en mesure de détecter l’ensemble des comptes qui ont été touchés, chose pouvant alors s’avérer compromettante pour les personnes sous pseudonyme susceptibles d’être visées par des États ou des personnes malveillantes.

Cette fuite de données soulève un autre problème : celui de la divulgation d’informations pour des utilisateurs sous pseudonyme, notamment ceux utilisant la plateforme dans un pays autoritaire. « Si vous exploitez un compte Twitter pseudonyme, nous comprenons les risques qu’un incident comme celui-ci peut introduire et regrettons profondément que cela se soit produit. Pour garder votre identité aussi masquée que possible, nous vous recommandons de ne pas ajouter de numéro de téléphone ou d’adresse e-mail publiquement connu à votre compte Twitter » écrit le site.

Les informations déjà en ligne et probablement vendues, la fuite de ces données peut représenter une mine d’or pour de nombreux pays, à l’instar de l’Iran ou l’Arabie Saoudite. « Si le régime iranien peut obtenir une copie de ces données et trouver ensuite sa cible, peu importe si l’utilisateur supprime son compte tout de suite, car il sera déjà identifié depuis son numéro de téléphone ou son e-mail » a déclaré Amin Sabeti, fondateur de Cerfta Lab, au média américain CyberScoop. « Au final, il se peut que nous n’entendions jamais parler des victimes. Elles seront arrêtées ou même condamnées à mort. »

Les données de 5,4 millions de comptes Twitter en vente sur Internet
Source : ©UsineDigitale & ©Numerama / Image : ©UsineDigitale

Des problèmes similaires depuis plusieurs années

La faille semble similaire à une autre vulnérabilité découverte fin 2019 qui a permis à un chercheur en sécurité de faire correspondre 17 millions de numéros de téléphone à des comptes Twitter.

Mais la plateforme de micro-blogging n’en est pas à son premier déboire. En mai 2022, le groupe a écopé d’une amende de 150 millions de dollars pour avoir utilisé les données d’authentification à double facteur de ses utilisateurs (adresse e-mail ou numéro de téléphone) à des fins publicitaires.

Ces problèmes de sécurité font le bonheur d’Elon Musk, le milliardaire étant toujours en bataille judiciaire avec les dirigeants du réseau social. Le patron de Tesla cherche en effet des arguments pour justifier la rupture d’un accord d’achat du groupe. Ce week-end, il a notamment mis en cause la prolifération de faux comptes sur la plateforme, un souci propre à plusieurs réseaux sociaux.