Les outils professionnels de Twitter seront-ils sûrs et sécurisés ?

Biz Stone, cofondateur de Twitter, a annoncé au début de ce mois au Technology Summit de New York que son entreprise travaillait à la mise en place de plusieurs fonctionnalités à usage commercial, comme un service de données analytiques et un annuaire de comptes professionnels vérifiant que les entreprises qui utilisent Twitter sont légitimes.

La principale question que les amateurs de Twitter et les utilisateurs potentiels de ces outils doivent se poser en premier lieu est celle de la capacité du site de micro-blogging à fournir des applications sûres et sécurisées, en particulier si des statistiques et des données pouvant affecter les entreprises sont concernées. 

Les nombreuses failles de sécurité et attaques – des vulnérabilités de type cross-site scripting aux attaques de vers – ont augmenté au cours des dernières semaines avec plusieurs approches intéressantes. Elles pourraient être dramatiques si des données d'entreprises s'échappaient de comptes compromis.

Notons que les efforts de ces escrocs se sont portés principalement sur le vol de données d'authentification ainsi que d'autres données permettant d'accéder à Twitter et à des plateformes similaires comme des comptes e-mails, blogs, ou e-commerce. Obtenir de tels accès se traduit par un large éventail de possibilités de crimes sur Internet, de l'envoi de spam aux tentatives de phishing (en utilisant la liste de followers/amis/contacts) en passant par le vol d'identité, de données commerciales, le chantage et l'extorsion. 

La plupart des tentatives de phishing reposaient sur des techniques d'ingénierie sociale et exploitaient la naïveté des utilisateurs. Le  ” Twitter Porn Name ” est un bon exemple. Il demande aux utilisateurs de révéler le nom de leur premier animal de compagnie, ainsi que celui de la première rue où ils ont habité. Ces noms sont généralement utilisés comme questions de sécurité pour les applications mentionnées précédemment. Un pirate en possession d'un nom d'utilisateur et de ces éléments peut facilement retrouver un mot de passe ” oublié ” qu'il peut par la suite utiliser pour accéder à un compte et envoyer du spam, accéder à des transactions ou réaliser du profit (même, en demandant une rançon pour rendre le compte piraté à son propriétaire).

D'autres procédés impliquaient des sites Internet utilisant le ” typosquatting ” tels que  tvvitter.com (actuellement indisponible), qui recueillait des données d'authentification et ajoutait automatiquement des ” followers ” (abonnés) indésirables. Les liens affichés sur ces profils (faux ou piratés) redirigeaient les utilisateurs vers un site de rencontre, sans doute dans le cadre d'une ” fraude au clic ” ou ” de classement de sites”.

Un autre acte de phishing impliquait un site tiers envoyant des messages sur la possibilité d'augmenter rapidement son nombre de ” followers “. Pour terminer le processus, le site Web demandait le nom d'utilisateur et le mot de passe du compte Twitter. Une fois ceux-ci indiqués, la liste de ” followers ” de l'utilisateur naïf recevait automatiquement le même message spam.

Enfin, l'attaque la plus récente associait du spam envoyé via différents comptes et un fichier PDF malveillant se téléchargeant via un exploit iFrame lorsque les utilisateurs cliquaient sur un lien censé afficher la ” Meilleure vidéo “.

En plus du clip, la page hébergée en Russie offrait le programme rogue ” System Security 2009 “.

Il est vrai que les données analytiques et les annuaires de professionnels sont des outils conçus pour les entreprises, et non les particuliers, et qu'il y a très peu de chance que les comptes des entreprises soient piratés via ce type de techniques. Mais si nous tenons compte du fait que derrière chaque compte d'entreprise se trouve en réalité une (ou plusieurs) personnes(s) en charge de la maintenance et de la mise à jour, alors le facteur humain est égal (si ce n'est supérieur) au facteur technologique et devrait être considéré en conséquence.