Twitter a une faille de sécurité qui facilite les messages privés (DM) sans autorisation - Arobasenet.com



Twitter a une faille de sécurité qui facilite les messages privés (DM) sans autorisation

Vulnérabilité sur Twitter.

Egor Homakov,  un chercheur en sécurité informatique, déclare avoir découvert une faille de sécurité sur Twitter qui permettrait aux applications tierces d'envoyer des messages privés aux twittos sans avoir obtenu d'autorisation pour le faire.

Le site TNW, qui rapporte l'information, déclare à son tour avoir vérifié l'existence de cette vulnérabilité et confirme le bug.
Ce qui veut dire que les applications Twitter qui ne vous demande pas votre permission peuvent quand même s'octroyer le droit de vous envoyer des DM (Directs Messages) ou messages privés. Ainsi, Twitpic ne vous demande jamais d'autorisation pour accéder à vos DM lorsque vous le connectez à votre compte Twitter.

Pour ce faire, cette application utiliserait tout simplement la commande "d @votre_profil" pour envoyer des DM à tout va. Elle ne vérifierait même pas si le destinataire accepte ou pas l'envoi de messages privés.

Il tout de même noter que certaines applications telles que Buffer bloque cette possibilité d'envoi de DM sans autorisation en affichant un message d'erreur.

Par contre, elles sont très nombreuses, ces applications qui les autorisent sans vérification.

Egor Homakov, spécialiste en sécurité informatique, qui a trouvé la faille donne 3 raisons pour lesquelles ce bug subsiste :

  • Les applications sont supposées avoir des permissions de lecture et d'écriture au moment de votre adhésion pour accéder aux DM. Avec un tel raccourci, n'importe qui peut outre-passer cette protection.
  • Les messages privés sont faciles à utiliser pour spammer. Et les utilisateurs s'en rendent moins compte.
  • Les DM n'affichent jamais s'ils ont été envoyés depuis le site officiel de Twitter ou depuis une application tierce. Résultat : la faille peut être utilisée pour des opérations de phishing de grande ampleur.

Ainsi, des applications tierces pourraient être utilisées pour envoyer en votre nom de "vrais-faux" messages privés à tous vos followers avec tout ce que cela pourrait impliquer.

 Entre le cafouillage qui a eu lieu en début de week-end avec Twitter qui voulait autoriser les profils bloqués à suivre quand même les tweets de celui qui les bloquent et sa marche en arrière qui s'en est suivie et cette faille de sécurité, on en vient à se poser quand même des questions.

Pendant ce temps, l'action du petit oiseau bleu s'envole très haut dans le ciel de Wall Street

Affaire à suivre...