Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Piratage massif sur Twitter : l’application TheCounter prend des mesures et enquête

Pour bien se réveiller

Piratage massif sur Twitter : l'application TheCounter prend des mesures et enquête

Le 15 mars 2017 à 09h58

Plusieurs centaines de comptes Twitter envoient un même message, écrit en turc. Les pirates semblent passer par une application liée aux profils des victimes. Il est possible d'en révoquer l'accès en un clic dans les paramètres dédiés.

Ce matin, des centaines de comptes Twitter envoient de manière indiscriminée un tweet comportant le hashtag « #Nazialmanya », liant une vidéo YouTube présentant Recep Tayyip Erdogan, le président turc. Ils ont été identifiés, notamment par Le Figaro, comme des messages pro-Erdogan critiquant l'Allemagne et les Pays-Bas. Parmi les comptes affectés, figurent ceux d'institutions comme Bercy, le ministère de l'Économie, Alain Juppé ou encore le Téléthon.

Des applications tierces à contrôler, TheCounter enquête de son côté

Au niveau mondial, on peut citer Amnesty International ou encore Forbes. Cela en plus de comptes moins en vue, comme ceux de certains journalistes. Le vecteur du piratage ne semble pas encore connu. Rapidement, les soupçons se sont tournés vers une application tierce, nommée TheCounter ou Twitter Counter, qui a l'autorisation d'écrire sur les comptes des utilisateurs touchés et publie ces tweets.

Sur son compte officiel, ses responsables affirment avoir ouvert une enquête sur un piratage, sans plus de détails. Ils ajoutent que, « en supposant que cet abus passe effectivement notre système », les possibilités d'envoyer des tweets et de suivre de nouvelles personnes via l'application ont été bloquées. Rappelons que le service avait déjà connu des soucis de sécurité en novembre dernier.

Twitter piratage

Il est donc fortement recommandé de vérifier les applications que vous avez autorisées sur votre profil Twitter, via la page dédiée. Il suffit ensuite de « Révoquer l'accès » des applications dont vous ne connaissez pas le but.

L'occasion de vérifier la sécurité de son compte

Si l'accès direct au compte ne semble pas en cause, cette vague de piratage est l'occasion de rappeler certaines bonnes pratiques, comme l'usage de l'authentification à deux facteurs.

Cela permet de recevoir un code, par SMS ou via un générateur dédié (comme Google Authenticator), au moment de se connecter au compte. Un second élément qui peut s'avérer utile. L'activation est accessible dans la partie « Sécurité » du compte. C'est également l'occasion de consulter notre guide pour créer un mot de passe fort, si vous doutez du vôtre.

Commentaires (44)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Avec Erdogan, Poutine et Trump, il manque encore un petit extrémiste en Europe et le compte sera bon… (ou pas)

votre avatar

n’utilisant pas l’appli, je pense que je ne crains rien mais par précaution, j’ai viré des droits a de vieilles applis. :)

votre avatar

Ça devrait être très facile pour Twitter de faire le nettoyage vu que c’est le même message à chaque fois.

votre avatar

Apparemment, même le compte de Mediapart est touché.



Blague à part, pas vu de victimes pour le moment.

votre avatar

C’est vraiment des branquignoles chez Twitter niveau sécurité. Déjà quelques années en arrière, je me suis retrouvé à follow des gens bizarres (promis, ce n’était pas issu de ma volonté <img data-src=" />)

votre avatar

C’est quand même marrant la sécurité des réseaux sociaux. 




 D'abord, y avait le problème que ces plateformes étaient pas sécurisé, car codé à l’arrache par des start-up sans le sous (FaceBook en est un fameux exemple, mais Twitter n'était pas mieux pendant ses premières années).       







 Ensuite, il a fallut expliquer aux utilisateurs qu'utiliser "password1234" sur tous les sites ce n'était pas bon.       







 Maintenant on leur explique qu'il faut de la double Authent, et manifestement ça a du mal à rentrer.       







 Sauf que même une fois qu'on en sera là, le problème de la news d'aujourd'hui sera encore présent, puisque là le problème c'est les droits accordé aux applis tierces. Quasiment tout le temps, les droits demandé sont délirants, pour plein de raison : développeurs malhonnêtes qui veulent vos données par pur appât du gain ; développeurs ignorants/flemards qui coche tout ; API qui ne sont pas du tout assez fine et donc si on veut un petit truc il faut cocher une case qui ouvre beaucoup trop de chose...       







 Le mieux, c'est que ce problème qui semblent difficilement solvable (Comment discipliner les applications tierces ? Ce n'est pas utilisateurs qui le feront, alors quoi, les éditeurs d'API ? Par quels moyens ?) n'est même pas le dernier, puisqu'on peut ensuite en trouver d'autre : problème de confiance dans les certificats qu sont de plus en plus fragile, et de manière général dans tout ce qui "web of trust" ; accélération de l'obsolescence des moyens de cryptographie...       







 Je ne suis pas sûr à 100% que développeur soit un métier d'avenir (si l'industrie se disciplinait un peu, et qu'un petit crash boursier des nouvelles technos arrivaient, il pourrait y avoir un paquet de charrettes) mais la sécurité informatique, ça c'est un truc qui ne peut que grossir ces prochaines décennies !
votre avatar

C’est étrange, je viens de recevoir un mail demandant de ré-initialiser mon mot de passe. Mais n’utilisant pas mon compte, je n’ai jamais utilisé ces applications.



EDIT : Je viens de vérifier, aucun message n’a été envoyé avec mon compte.

votre avatar







sephirostoy a écrit :



C’est vraiment des branquignoles chez Twitter niveau sécurité. Déjà quelques années en arrière, je me suis retrouvé à follow des gens bizarres (promis, ce n’était pas issu de ma volonté <img data-src=" />)





Là apparemment c’est à cause d’un site tiers.



Mais bon, globalement je vais finir par penser que le jour où des hackers veulent entrer dans un site, ils le peuvent. Quelque soit le site en question : réseau social, banque, administration, … Ca fout les boules.


votre avatar

Comme pour les virus, c’est trop souvent les utilisateurs qui sont responsables de leur propre malheur: négligence et incompétence, PEBCAK sont des armes redoutables..



Ainsi, il est facile de constater le nombre effarant de personnes qui - par exemple - utilise le service Linkis pour Twitter.

Linkis est officiellement un raccourcisseur d’adresse mais en fait c’est un malware qui altère la page initiale et en ouvrent d’autres en loussecé.



Par exemple, plusieurs journalistes des Echos l’utilisent depuis des mois. Ils le savent. Leur directeur information/rédaction le savent. Leur directeur numérique le sait. Rien n’est fait <img data-src=" />





Pourtant ce “service” insidieux est largement reconnu:http://www.adrianjock.com/remove-linkis-frames-twitter/ ou&nbsp;http://www.alexandregagne.info/2016/12/twitter-comment-se-debarrasser-de-linkis….



Faites un essai avec, par exemple, Jean-Michel Gradt journaliste auto aux Echos/ pseudo @ogrady99



A ce niveau d’incompétence on ne peut pas dire que Twitter soit responsable.





Edit: voir le compte de Forbes, 12 millions d’abonnés, avec une photo de profil “oeuf rouge” c’est qd même rigolo.

votre avatar

Le compte d’Envoyé spécial est aussi corrompu on dirait…

.@EnvoyeSpecial Nous dénonçons le piratage du compte de l’émission ce matin avec des symboles inadmissibles pour l’équipe Et Pour France2.



Et aussi anticor… <img data-src=" />

votre avatar

Ah twitter.. supprimé mon compte après 2 ou 3 mois, ça me manque pas du tout :)



Un poil HS mais j’ai eu un mail de Yahoo signalant qu’à compter d’avril ils supporteraient plus les anciennes versions d’iOS ou Android <img data-src=" />





Nous avons constaté que vous accédez à Yahoo Mail à partir d’un appareil mobile qui utilise une ancienne version du système d’exploitation. Nous procédons actuellement à la mise à jour de nos services Yahoo Mail. En conséquence, en avril, Yahoo Mail ne fonctionnera plus sur les appareils mobiles utilisant les systèmes d’exploitation iOS 9.2.1, Android 4.0.4 ou de versions antérieures.





Et je leur dis zut, le 9.0.2 me va très bien <img data-src=" />

votre avatar

Les médias sociaux (et les services web en général) se font piller l’utilisation de leurs services par des pirates (des escrocs) ou des corsaires (des mercenaires). Les big data et la viralité des partages sont le gagne-pain des médias sociaux et ces derniers ont du mal à protéger leur trésor.

votre avatar

Maintenant si ^^’

twitter.com Twitter

votre avatar

Idem Droup, je reçois régulièrement des messages m’indiquant une tentative de connexion sur mon compte et m’invitant à changer mon mot de passe. Je l’ai déjà changé 3 ou 4 fois… très soulant.

votre avatar

Ah, TheCounter est une entreprise néerlandaise. Très drôle!

votre avatar

Parce que tu n’en étais pas encore convaincu ?&nbsp;

Tu ne lis pas assez NextINpact&nbsp;<img data-src=" />



La sécurité informatique 100% c’est comme dans la vraie vie … ça n’existe pas … les mesures de sécurité ne sont là que pour compliqué la vie de celui qui veut te pirater, mais celui-ci qui est prêt à y investir le temps et l’argent nécessaire, y arrivera, forcément…&nbsp;

votre avatar







QuickTurtle a écrit :



Le problème à mon sens sont les autorisations accordées aux applications tierces. Pourquoi une application devrait avoir le droit d’écrire un tweet ou sur un filesystem (pour un cloud), gérer des contacts (pour les calendriers) ?

A ouvrir les fenêtres et les portes aux 4 vents, il ne faut plus s’étonner de ce genre de détournement.





Ben c’est pourtant simple pour pouvoir publier des tweet prédéfini. (oui je sais dit comme ça, c’est pas top)

Par exemple pour YT, faire un tweet automatiquement a la publication d’une vidéo, etc…


votre avatar







DUNplus a écrit :



Ben c’est pourtant simple pour pouvoir publier des tweet prédéfini. (oui je sais dit comme ça, c’est pas top)

Par exemple pour YT, faire un tweet automatiquement a la publication d’une vidéo, etc…





Je comprends bien, mais combien de fois j’ai vu des applications tierces demander des droits bien supérieurs à ce qui semble nécessaire. Et je ne parle pas des applications mobiles gratuites ou payantes qui s’accordent bien des droits par rapport à leur nécessité réelle.

Publier un tweet, une vidéo, modifier des contacts, … devrait passer systématiquement par une double validation de la plateforme qui a accordé de telles accès pour éviter les failles des applications tierces.

Pourquoi une application de statistique doit être en mesure de poster sur Tweeter ? D’après la description des fonctionnalités, cela ne devrait pas exister:&nbsphttp://twittercounter.com/


votre avatar







QuickTurtle a écrit :



Je comprends bien, mais combien de fois j’ai vu des applications tierces demander des droits bien supérieurs à ce qui semble nécessaire. Et je ne parle pas des applications mobiles gratuites ou payantes qui s’accordent bien des droits par rapport à leur nécessité réelle.

Publier un tweet, une vidéo, modifier des contacts, … devrait passer systématiquement par une double validation de la plateforme qui a accordé de telles accès pour éviter les failles des applications tierces.

Pourquoi une application de statistique doit être en mesure de poster sur Tweeter ? D’après la description des fonctionnalités, cela ne devrait pas exister:&#160http://twittercounter.com/





Au moins maintenant ils demande.

Après si quelqu’un demande est qu’on peu tagger ta maison et que tu dit oui, faut pas être étonné.



Le truc qui manque aussi, c’est que les API permet a l’utilisateur de choisir de refuser certaine droit aux apps tierces.


votre avatar

Et certaines applis pratique refusent de fonctionner si une seule des autorisations requises est refusées, ex: l’appli RATP (du coup elle a dégagé)

votre avatar







tifounon a écrit :



Et certaines applis pratique refusent de fonctionner si une seule des autorisations requises est refusées, ex: l’appli RATP (du coup elle a dégagé)









J’ai pas cherché mais il doit bien y avoir un moyen de falsifier les autorisations sans recompiler l’apk.


votre avatar

Ah mais dans ce cas, il faut la dégager effectivement. Après c’est un choix personnel, à qui tu confies tel élément de ta vie privée…

votre avatar

Petite explication : l’accès aux contacts est demandé pour se connecter au compte Google par exemple. Donc si tu veux enregistrer un fichier dans le cloud (drive, one, Dropbox…) tu dois autoriser l’accès aux contacts, rien à voir avec les contacts à proprement parler.



Les autorisations ont été regroupées il y a quelques temps. Du coup certaines sont incompréhensibles pour les non-dev

votre avatar

pour ma culture perso, ces autorisations du point de vue dev sont “binaires” (juste oui/non) ou plus modulables (genre le rwx des système de fichier) ?

votre avatar

En français, on ne dit pas “réseaux sociaux”, mais réseaux “sociaux”

(pas trouvé l’ “icône” “grammairien”, mais tant pis).

votre avatar







geeklitant a écrit :



Là apparemment c’est à cause d’un site tiers.



Mais bon, globalement je vais finir par penser que le jour où des hackers veulent entrer dans un site, ils le peuvent. Quelque soit le site en question : réseau social, banque, administration, … Ca fout les boules.





Tant qu’on continuera à ne pas payer les gens compétant pour assurer la sécurité info, ça sera comme ça


votre avatar

le truc de révoquer les applications est valable pour tout ou presque, facebook, google, twitter, twitch et j’en passe et des meilleurs.



c’est un peu chiant aussi ce système d’applications tiers qui à besoin de l’accès à tout et n’importe quoi. j’ai encore vu ça hier sur mon compte google, toutes les applications playstore qui ont accès pour un oui ou pour un non, ca fait presque peur.



Je comprend pas qu’il n’y ai pas un système automatique qui te dis ‘ vous n’utilisez plus l’application ‘tartanpion’ depuis x mois, voulez-vous révoquer ses droits d’accès à votre compte X. c’est de la logique de base non ?

votre avatar

Pas de compte Twitter…. pas de problème !

Et je vous assure, cela facilite largement la déconnexion et le retour dans la vraie vie

votre avatar

Bizarrement quand une appli me demande le droit d’envoyer des messages sur twiiter c’ets un non direct.



C’est comme les gens qui autorisent leurs applis android à accéder à leur sms et contacts… faut arréter la connerie une appli qui te demande autant de droits c’est qu’il y a un problème.

votre avatar







XMalek a écrit :



C’est comme les gens qui autorisent leurs applis android à accéder à leur sms et contacts… faut arréter la connerie une appli qui te demande autant de droits c’est qu’il y a un problème.







Sauf si c’est le but de l’app <img data-src=" />



De toutes manières, depuis android6 on peut choisir les autorisations à l’éxécution. Après si l’utilisateur valide tout sans lire… tant pis pour lui.


votre avatar

Allemagne nazie, hollande nazie…

Joli !! Font pas dans la dentelle !

votre avatar

Oui là ca se comprend (même si sms c’est un non direct perso), néanmoins thecounter le but est de faire des stats, hormis le pollueur qui veut publier ces stats il y a 0 raisons d’autoriser l’envoi.

votre avatar

Effectivement pour l’envoi. Après je ne sais pas si l’API de Twitter permet de limiter les droits pour les applications.

votre avatar

La seule raison qui fait que je doive être inscrit, nominativement, sur les réseaux sociaux “en vogue”, c’est pour éviter l’usurpation d’identité ou en tout cas imposer le doute quant à la réelle paternité d’un message émanant d’un compte au nom (volontairement ou pas) trop semblable.

Aucune obligation d’être actif, juste un profil de base visible.



Ce n’est pas une parano personnelle, c’est dans nos contrats de travail. Dès lors qu’il existe un lien clair entre un employé et la boîte (cartes de visite nominatives, publication sur les pages officielles, …).

votre avatar

Malheureusement, en politique il vaut mieux d’avoir des ennemis sur qui tapé que des amis.<img data-src=" />

votre avatar

En commentant sur un site tu te discrédite tout seul &lt;3

votre avatar







Bejarid a écrit :



le problème c’est les droits accordé aux applis tierces. Le mieux, c’est que ce problème qui semblent difficilement solvable (Comment discipliner les applications tierces ?





Une application tierce ne devrais pas avoir les droit nécessaire pour changer de mail ou de mot de passe par exemple. Une appli tierce est en générale utilisée car plus ergonomique à l’usage que l’appli principale, mais le panneau de config ont y passe pas des heures non plus.


votre avatar







ITWT a écrit :



La seule raison qui fait que je doive être inscrit, nominativement, sur les réseaux sociaux “en vogue”, c’est pour éviter l’usurpation d’identité ou en tout cas imposer le doute quant à la réelle paternité d’un message émanant d’un compte au nom (volontairement ou pas) trop semblable.

Aucune obligation d’être actif, juste un profil de base visible.



Ce n’est pas une parano personnelle, c’est dans nos contrats de travail. Dès lors qu’il existe un lien clair entre un employé et la boîte (cartes de visite nominatives, publication sur les pages officielles, …).





Etonnante cette clause de contrat. Je ne sais pas si elle est vraiment légale, mais j’en comprends l’initiative.


votre avatar







geeklitant a écrit :



Etonnante cette clause de contrat. Je ne sais pas si elle est vraiment légale, mais j’en comprends l’initiative.





bof, à partir du moment où on ne te force pas à publier dessus, je la mets au même niveau que “doit être titulaire d’un permis B” et, du coup, je ne la trouve pas déconnante ;)



edit : le côté étonnant (au sens agréablement étonné) c’est qu’ils y aient pensé et aient trouvé un moyen de s’en prémunir.


votre avatar







geeklitant a écrit :



Etonnante cette clause de contrat. Je ne sais pas si elle est vraiment légale, mais j’en comprends l’initiative.





Je dois reconnaître que je ne me suis pas posé la question.



Cette clause ne concerne pas tout le monde. Les cartes de visites nominatives et/ou la publication en nom propre sont des critères qui filtrent déjà énormément de monde… Ne restent donc que des personnes qui, normalement, sont déjà très sensibilisées sur les problématiques d’image et de sécurité.


votre avatar

Le problème à mon sens sont les autorisations accordées aux applications tierces. Pourquoi une application devrait avoir le droit d’écrire un tweet ou sur un filesystem (pour un cloud), gérer des contacts (pour les calendriers) ?

A ouvrir les fenêtres et les portes aux 4 vents, il ne faut plus s’étonner de ce genre de détournement.

votre avatar

Vu le peu d’utilisation de mon compte, risque pas grand chose.<img data-src=" />

N’empêche, il à toujours été fort pour avoir plus de pouvoir en se faisant passer pour une victime, juste pour des fins politiques.

Et autant de casserole judiciaire que certains élus français.

Plus cela va, plus j’ai là mauvaise impression qu’un élu est forcément pourris.<img data-src=" />

votre avatar

“L’application TheCounter ne semble pas encore avoir réagi”

skynet&nbsp;<img data-src=" />

votre avatar



L’application TheCounter ne semble pas encore avoir réagi à ces accusations.





Ca tombe bien, vu qu’on n’est pas sûr que ça vienne d’elle…

Piratage massif sur Twitter : l’application TheCounter prend des mesures et enquête

  • Des applications tierces à contrôler, TheCounter enquête de son côté

  • L'occasion de vérifier la sécurité de son compte

Fermer