Cet été, on apprenait qu’une faille dans une API de Twitter avait permis la récupération de données privées pour 5,4 millions de comptes. Une brèche que Twitter avait confirmée après l’avoir corrigée. Il semble cependant que la fuite de données était plus importante que prévu, et qu’une autre plus importante ait eu lieu.
La fuite de cet été était déjà imposante. La faille affectait l’application Android et avait permis aux pirates de s’emparer des données de 5,4 millions de comptes, dont l’adresse email et le numéro de téléphone, informations normalement privées. Les personnes concernées avaient été invitées à surveiller de près d’éventuels emails ou SMS suspects, car ces données engendrent souvent des tentatives frauduleuses.
Elles avaient été collectées en décembre 2021, peu de temps avant que la faille soit signalée le 6 janvier sur la plateforme HackerOne, puis corrigée par Twitter le 13. Son découvreur avait obtenu une prime de 5 040 dollars. Le 21 juillet, la base était mise en vente par un pirate répondant au doux nom de Devil, pour 30 000 dollars.
Des données disponibles gratuitement
Cette exposition de données a cependant pris une autre ampleur, selon BleepingComputer. Une archive contenant toutes les données des 5,4 millions de comptes s’est retrouvée – gratuitement cette fois – sur un forum spécialisé (Breached), dont le propriétaire (Pompompurin) a échangé avec nos confrères.
Selon lui, ce sont bien les personnes de ce forum qui ont exploité la faille, dont les détails avaient été fournis par le fameux Devil. Ce dernier n’aurait donc pas opéré lui-même cette récupération, partageant « simplement » ses informations avec d’autres. Les informations disponibles sur Breached sont les mêmes que celles mises en vente en août et concernent précisément 5 485 635 comptes.
Pompompurin a également affirmé avoir obtenu un autre lot de données, provenant cette fois de 1,4 million de comptes suspendus. Elles auraient été récupérées en exploitant une autre API, mais le résultat n’aurait été partagé qu’avec quelques personnes, non mis en vente.
Une autre fuite plus importante ?
Il semble qu’une autre fuite, beaucoup plus importante, ait cependant eu lieu sur les mêmes bases, avec exploitation de la fameuse faille dans l’application Android. C’est ce qu’a tweeté le chercheur en sécurité Chad Loder, qui précisait que l’on retrouvait rien de moins que l’intégralité des comptes de certains pays, portant l’ensemble à 17 millions de comptes.
Sans que l’on sache pourquoi, le fil publié par Loder a été bloqué et son compte suspendu. Qu’à cela ne tienne, il a publié ses découvertes sur Mastodon, notamment une capture dans laquelle on peut voir des messages en français. Il y indique que les comptes proviennent en immense majorité d’Europe, des États-Unis et d’Israël, et qu’il a pu attester de l’authenticité des données en contactant une partie des personnes concernées pour vérifier les informations.
Selon le chercheur, ce seraient ainsi tous les comptes des utilisateurs français qui seraient concernés, tout du moins ceux dont l’option « Permettre aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter » est active (ce qu’elle est par défaut), dans la section Détectabilité des paramètres du compte.
Dans le lot de données, Chad Loder dit avoir trouvé des comptes vérifiés, des célébrités, des politiciens très en vue ainsi que des agences gouvernementales. Il doute cependant qu’il s’agisse de la même fuite de données que celle vendue l’été dernier. Ce que BleepingComputer confirme de son côté, Pompompurin lui ayant affirmé n’avoir aucun lien avec cette autre montagne d’informations. Il y avait donc d’autres personnes qui avaient connaissance de la faille et ont réussi à l’exploiter massivement.
Nos confrères ajoutent qu’ils ont pu, eux aussi, vérifier l’authenticité de ces données en contactant de leur côté un autre échantillon de personnes, prouvant notamment la validité des adresses email et numéros de téléphone présents dans l’archive.
Pas de réaction de Twitter, prudence en attendant
La plateforme d'Elon Musk, interrogée sur le sujet notamment par BleepingComputer, ne s’est pas encore exprimée. Mais tout porte à croire que cette fuite massive est réelle, et que les personnes concernées, très nombreuses, vont devoir faire attention au type de courrier qu’elles reçoivent.
Il se peut en effet que vous receviez au cours des prochaines semaines un email vous avertissant que vous pourriez perdre votre statut « Vérifié », qu’il existe des problèmes d’authentification sur votre compte, ou encore que ce dernier a été suspendu. Les chances qu’il s’agisse de tentatives de phishing sont élevées.
Soyez donc prudents, d’autant que l’aspect malveillant de ces emails n’est pas toujours si évident à détecter, même s’ils ont toujours une caractéristique commune : on vous invitera à cliquer sur un lien, là où un email officiel vous conseillera d’aller vous-même sur le site ou dans l’application pour effectuer une manipulation. La grammaire et l’orthographe du courrier peuvent également renseigner sur son authenticité.
Commentaires (8)
#1
La réputation de Twitter était déjà entachée par les frasques (ahem) de son nouveau propriétaire. Cette nouvelle ne va sûrement pas arranger les choses et ternir encore plus la réputation de la plateforme.
Il paraitrait même (pas de confirmation) que des institutionnels songeraient ou auraient songé à quitter purement et simplement Twitter. Wait and see…
#1.1
Faire toutes les communications gouvernementales et parlementaires sur le Fediverse serait s mal, mais je pense que c’est utopique :p
ActivityPub pouvant s’intégrer partout, je verrai bien le site de l’AN ou une asso tierce (du type NosDéputés.fr ) rendre leurs outils compatibles Fediverse…
Par exemple pour les députés, avoir un toot sur @nomdéputé@assemblee-nationale.fr ou une bêtise du genre dès qu’un député fait une intervention.
C’est quand même beau de rêver…
#1.2
Es-ce que les serveurs de la fédération de Fediverse pourraient tenir??
Des traductions sur framablog laisse penser que ce n’est pas si simple et que Twitter et les mastodon, c’est comme le courriel et la messagerie instantanée (différent):
https://framablog.org/2022/11/12/mastodon-fin-de-premiere-partie/
https://framablog.org/2022/11/13/de-la-friture-sur-le-fediverse/
https://framablog.org/2022/11/18/29098/
#1.3
Du moment que l’instance proposée “Assemblée Nationale” est suffisamment taillée, oui. Les “serveurs du Fediverse” ne sont pas un tout cohérent, chacun en fait partie à la hauteur de ses moyens et capacités. Typiquement tu peux avoir ton instance à toi, tout seul dessus, connectée au Fediverse pour discuter avec d’autres. Tu perds juste l’intérêt de la “Local timeline”.
La partie du Fediverse portée par Mastodon a été mis à mal récemment à cause d’un gros afflux de nouveaux utilisateurs, ce qui a nécessité une augmentation des capacités d’hébergement (et donc de leur coût). Mais depuis, en tous cas sur celle où je suis qui est la plus grosse orientée Tech, c’est revenu à la normale après une grosse upgrade des ressources.
#2
Eric Freyssinet (qui est à la fois sur Twitter et le Fédiverse) a tooté tout une liste de comptes Mastodon de l’union européenne (qui dispose de sa propre instance identifiée). C’est donc parfaitment faisable et souhaitable.
#3
Si je comprends bien comment fonctionne Mastodon, il suffit que l’instance de l’assemblée nationale soit renforcée pour que ça fonctionne. Les autres vivent leur vie sans sans soucier.
#4
Je confirme que la CJUE et la EDPS (données personnelles) ont un compte sur une instance Fediverse.
Fut un temps il y avait une instance Etalab.gouv.fr mais ça a été coupé malheureusement….
#5
Ayant une instance perso Friendica (protos Activity Pub et Diaspora), ce que je peux dire c’est que ça tourne bien sur un petit serveur.
Pour que les comptes soieñt visibles au plus grand nombre, il faut que l’instance AN soir fédérée (cela signifie qu’il faut que des membres des principales instances suivent un compte sur l’instance AN).
D’ailleurs j’invite ceux qui sont intéressés à aussi essayer Misskey, un service compatible Mastodon et décentralisé également, avec une interface assez chic.