Ne téléchargez pas vos contacts sur Twitter. Si vous le faites, ou si vous l’avez déjà sur votre appareil Android, votre numéro de téléphone pourrait être l’un des 17 millions exposés sur l’application, un bug signalé pour la première fois par TechCrunch.
Le chercheur en sécurité Ibrahim Balic, qui est basé à Londres, a déclaré au média qu’il a pu faire correspondre des enregistrements dans 7 pays différents, y compris celui d’un politicien israélien de haut rang et de plusieurs autres utilisateurs de haut niveau. Il a fait cela lorsqu’il a découvert que lorsqu’on télécharge ses contacts, l’application « récupère les données des utilisateurs en retour », a-t-il dit à TechCrunch. Il était alors possible de faire correspondre les numéros de téléphone téléchargés dans l’application avec les enregistrements de Twitter et de trouver des noms d’utilisateurs pour les comptes.
Autrement dit, cette faille, presque simple, peut faire correspondre des numéros de téléphone aux utilisateurs en téléchargeant simplement une liste massive de numéros générés au hasard par l’application Twitter sur Android.
Le 20 décembre dernier, Twitter avait déjà signalé une faille de sécurité dans son application Android qui, selon un communiqué de l’époque, « pouvait permettre à un mauvais acteur de voir des informations non publiques ou de contrôler votre compte (c’est-à-dire d’envoyer des tweets ou des messages directs) ».
Mais, la faille signalée par Twitter semblait dépendre de l’insertion d’un code malveillant. Cette nouvelle faille que Balic a signalée n’implique aucun code malveillant ; elle consiste simplement à connaître le numéro de téléphone de quelqu’un et à pouvoir déterminer son utilisateur Twitter à partir de cette seule information.
Des bugs en pagaille
Il s’agit de la dernière d’une série de bugs ou d’attaques de piratage qui a touché Twitter et d’autres réseaux sociaux ces derniers mois, y compris Facebook. Twitter n’a peut-être pas été enclavé dans de grands scandales politiques et de protection de la vie privée comme Facebook l’a été, mais le géant social a connu ses propres rebondissements. La plupart d’entre eux sont dus à des problèmes techniques, appelés bugs, qui font fuir les informations des utilisateurs alors qu’ils ne devraient pas.
En effet, Twitter a subi quelques fuites énormes ces dernières années, dont une en 2016 qui a exposé les identifiants de connexion de 32,8 millions d’utilisateurs, et une autre en 2018 où Twitter a exhorté 330 millions d’utilisateurs à changer leurs mots de passe après qu’ils aient été exposés sur le réseau interne de l’entreprise.