Les piratages de comptes en ligne comme ceux des utilisateurs Twitter sont fréquents. On conseille en général aux internautes de bien corser leur mot de passe et d’activer l’authentification double facteurs pour limiter autant que possible les risques. Pourtant, il ne faut pas ignorer l’autre grand danger trop souvent sous-estimé par les utilisateurs : les applications tierces connectées à votre compte.
Dans un rapport, les chercheurs de CloudSEK révèlent que 3207 applications mobiles laissent ainsi fuiter tout ou partie des clés API Twitter. Le problème, c’est que ces clés logicielles peuvent permettre de prendre le contrôle de votre compte Twitter sans même connaître votre identifiant ou votre mot de passe. Ces clés et tokens d’accès générés pour chaque application permettent également de contourner l’authentification double facteurs.
Comment des vulnérabilités dans 3200+ apps mobiles aident les pirates à voler votre compte Twitter (entre autres)
A en croire CloudSEK, la technique est activement utilisée par les pirates, en particulier ceux qui tentent de créer d’immenses botnet pour mener des attaques de grande ampleur – ainsi que mener des campagnes efficaces de désinformation. La firme explique en effet que les pirates sont susceptibles d’intégrer toutes les clés et tokens collectés dans un programme permettant de propager massivement des malware au travers de comptes Twitter vérifiés.
Outre Twitter les chercheurs de CloudSEK affirment que de nombreuses applications laissent fuiter d’autres clés API et tokens d’accès, notamment ceux de GitHub, Amazon Web Services (AWS), HubSpot et Razorpay. Les chercheurs donnent plusieurs conseils aux développeurs pour colmater ces fuites de données sensibles. Comme par exemple le fait d’utiliser des variables en lieu et place d’utiliser directement ces données.
Lire aussi – Twitter – les données piratées de 5,4 millions d’utilisateurs en vente, êtes-vous concerné ?
De leur côté les utilisateurs sont invités à régulièrement passer en revue la liste des applications connectées à leur compte Twitter (et à leurs autres comptes en ligne). Sur Twitter, il faut pour cela aller dans les Réglages > Sécurité > Apps et sessions > Applications connectées. N’hésitez pas à supprimer toute application que vous utilisez peu ou que vous ne reconnaissez pas. Dans le pire des cas, l’application en question vous redemandera d’associer votre compte.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
