Twitter nixe les tweets par texte après le piratage du compte du chef

Mercredi, Twitter a empêché les utilisateurs de déclencher des tweets via des messages texte alors qu'il cherchait à corriger une vulnérabilité qui avait conduit au piratage du compte du PDG, Jack Dorsey.

La semaine dernière, Dorsey était la cible d'une fraude dite "d'échange de cartes SIM", qui permet à un pirate informatique d'inciter un opérateur de téléphonie mobile à transférer un numéro, ce qui pourrait faire perdre du contrôle non seulement aux médias sociaux, mais aussi aux comptes bancaires et autres informations sensibles.

Ce type d'attaque cible une faiblesse dans l'utilisation de "l'authentification à deux facteurs" via un message texte pour valider l'accès à un compte, une méthode de rodage qui est devenue populaire au cours des dernières années.

"Nous désactivons temporairement la possibilité de tweeter par SMS, ou par SMS, afin de protéger les comptes des utilisateurs", a écrit l'équipe de support de Twitter sur la plate-forme.

"Nous sommes en train de franchir cette étape en raison de vulnérabilités auxquelles les opérateurs de téléphonie mobile doivent remédier et de notre dépendance à l'égard d'un numéro de téléphone lié pour l'authentification à deux facteurs."

Le service basé à San Francisco a ajouté que, dans la mesure où il propose une solution à long terme au problème, le tweet via SMS sera éventuellement réactivé sur les marchés où les utilisateurs ont recours à cette technique.

Malgré des mesures de sécurité considérables en place, Dorsey a été victime du compromis embarrassant lorsque des assaillants ont détourné son numéro de téléphone et pris le contrôle de son compte Twitter.

Le compte de Dorsey a été rétabli après une brève période au cours de laquelle les assaillants ont posté une série de tweets offensants.

Certains analystes affirment que les pirates informatiques ont trouvé des moyens d'obtenir facilement suffisamment d'informations pour convaincre un opérateur de télécommunication de transférer un numéro sur le compte d'un fraudeur, en particulier après le piratage de bases de données volumineuses ayant entraîné la vente de données personnelles sur le "dark web".

"Les SMS des comptes mobiles peuvent être piratés par des techniques matérielles sophistiquées, mais également par une ingénierie sociale: convaincre un fournisseur de téléphonie mobile de migrer votre compte sur un autre téléphone non autorisé", a déclaré R. David Edelman, un ancien de la Maison Blanche. conseiller qui dirige un centre de recherche sur la cybersécurité au Massachusetts Institute of Technology.

"Cela ne prend que quelques minutes de confusion pour faire le mal comme Dorsey l'a expérimenté."

© 2019 AFP