Twitter, ce Serial Failer

Le 5 février 2010 — par

Il y a quelques jours, certains d’entres vous ont été obligés de changer leur mot de passe Twitter, suite à un phishing. Ou plutôt ce qui a été fait passer pour un phishing. Mais j’y reviendrai plus tard.

twitter_logo.jpg

Quoiqu’il en soit, je profite de cette dernière faille en date pour vous remémorer ces 10 derniers mois de Twitter, la société qui subit le plus d’attaques en tous genres sur le Web et qui a l’air de s’en accommoder au fil du temps.

30/04/2009 : Hosebird.com

Mi avril 2009, Twitter a commencé à faire des annonces publiques à propos de sa fameuse « Streaming API » qui permet de recevoir tous les tweets en temps réel, via une connexion permanente avec leurs serveurs. Le nom du projet est connu de quelques uns, et dévoilé par le directeur de l’API John Kalucki dans un de ses tweets.

Seulement, dans le monde d’Internet, Twitter a oublié qu’on ne prononce jamais le nom d’un projet sans en enregistrer le nom de domaine.

exmc.png

D’accord, il se peut que j’y sois pour quelque chose… Ça y est, vous avez compris que j’étais vraiment un petit con ? Pas trop tôt :) Depuis, le projet a été curieusement renommé Firehose.

14/07/2009 : Les documents secrets

Un « pirate » français du nom de « Hacker Croll » récupère grâce au piratage du mot de passe d’un simple employé, des centaines de documents confidentiels concernant les futurs plans de la société pour les années à venir. Cela concerne évidemment les revenus, la télévision, mais les documents contiennent aussi beaucoup d’informations personnelles, comme les numéros de cartes bancaires ou encore les codes pour rentrer dans les bâtiments.

twitterfinancials.jpg

A cette époque, l’information était passée sur le blog officiel de Twitter, avec un titre ironique (Even More Open Than We Wanted) et des réflexions philosophiques après quand même une petite menace d’attaque en justice sur Techcrunch. L’histoire était embarrassante mais la communication autour de cet évènement était encore maîtrisée.

18/12/2009 : Le DNS poisoning

Si, comme tous les matins en vous levant à 6 heures, vous allez sur twitter.com pour voir les dernières mises à jour de vos Tweeps et autres Twittos (je n’ai pas trouvé de mots plus horribles mais vous pouvez en proposer en commentaires), vous seriez tombé là-dessus le 18 décembre 2009 :

Picture-3.png

Contrairement au précédent évènement, la société reste assez évasive sur le sujet, alors que la faille est d’une part importante (le DNS poisoning est une faille corrigée depuis plus de 4 ans sur les serveurs DNS), et d’autre part hautement politisée. Twitter a été pendant plusieurs jours le seul réel vecteur d’informations pour l’Iran pendant les élections présidentielles.

Pour la petite histoire, John Kalucki avait signé la pétition (#1080) contre le DNS Abuse de Verisign. Il aurait dû signer celle contre le DNS Abuse des Iraniens :)

02/02/2010 : Le « phishing »

Ce jour-là vers 10 heures, heure française, plusieurs milliers de personnes n’ont pas réussi à accéder à leur compte, que ce soit via l’API ou sur le site directement. Pire même sur le site, le compte était indiqué comme « bloqué » à cause de tentatives de connexions excessives. Il a été reporté quelques heures plus tard que la faille ne venait pas de Twitter mais de sites BitTorrent privés où les mots de passe étaient enregistrés en clair, l’administrateur s’étant aidé de la corrélation e-mail/mot de passe de sa propre base pour accéder aux comptes Twitter (version simplifiée, pas taper).

Twitter aurait donc forcé la mise à jour de mots de passe pour certains comptes, de manière préventive.

J’ai moi-même été touché par cette attaque. Sauf qu’elle n’a rien d’un phishing. Et c’est ça le plus inquiétant.

failwhale.jpg

Je ne pourrai pas vous faire croire que je ne me suis jamais inscrit à des sites de partage BitTorrent ou autres, car j’aime beaucoup télécharger les ISO Linux. Seulement il est impossible que j’ai subi une tentative de phishing, pour les raisons suivantes :

  • L’adresse e-mail que j’ai utilisée pour Twitter n’est utilisée sur aucun autre site. Pour la bonne raison que j’utilise Topify.
  • Mon nom d’utilisateur sur Twitter est aussi utilisé nulle part ailleurs. Non pas que j’aimerais pas avoir maxime partout, mais d’autres ont eu l’idée avant moi.

De plus, des ReTweets utilisant la fonction native du site Twitter ont été postés sur mon compte il y a une dizaine de jours, avec une source « from web ». Preuve que les mots de passe sont gardés et utilisés depuis longtemps et que Twitter a attendu l’attaque pour agir, en fournissant de fausses justifications.

Conclusion… même si c’est loin de l’être

Au fur et à mesure de ces 10 derniers mois, on sent la gêne de plus en plus palpable chez l’exécutif de Twitter à chaque mise au jour d’une nouvelle faille. Le dernier communiqué en date est même complètement évasif et rejette la faute sur l’utilisateur.

C’est d’autant plus drôle quand on se rappelle que jusqu’à Juillet dernier, le mot de passe des serveurs Twitter était… « password ».

Jusqu’à Août dernier vous pouviez aussi rajouter du code HTML dans vos descriptions Twitter, entraînant ainsi plusieurs attaques XSS avant que la faille soit corrigée.

La société a reçu en tout 160 millions de dollars d’investisseurs, le dernier tour de table datant d’il y a à peine un mois. Espérons qu’ils en garderont quelques millions pour engager de vrais experts en sécurité.

S'abonner au flux RSS du blog
Recevoir les nouveaux articles par e-mail :