Twitter : un piratage de 250 000 comptes qui pose plusieurs questions
Twitter a dû reconnaître avoir été victime d'un piratage. Son enquête a "pour le moment" pu découvrir que les pirates ont eu accès à plusieurs informations, et notamment les noms d'utilisateurs de quelque 250 000 comptes, ainsi que leur adresse mail, leur jeton d'identification et mot de passe chiffré. Le réseau social a alerté par e-mail tous les abonnés concernés, et effacé leur mot de passe. Finalement, Twitter leur a demandé de créer un nouveau mot de passe.
L'alerte, publiée sur le blog officiel de Twitter et signée par Bob Lord, le responsable de la sécurité du site de microblogging, rappelle quelques bases en matière d'hygiène informatique, conseillant des mots de passe robustes, de plus de 10 caractères et mélangeant lettres, chiffres et caractères spéciaux. Plus mystérieusement, Bob Lord rappelle également les récentes failles de Java, comme si ces vulnérabilités pouvaient avoir un rapport avec l'attaque dont a été victime le site. Twitter n'a en tout cas pas voulu en dire plus à ce sujet.
Reste que tous les problèmes n'ont pas été réglés après le changement de mot de passe. Nos confrères du Register expliquent en effet aujourd'hui que, malgré ces modifications, les clients Twitter précédemment authentifiés avec d'anciens mots de passe continuent de pouvoir accéder au service. Même les outils officiels du réseau social, comme TweetDeck, ou ses applications pour iPhone et iPad, sont concernés. Twitter a reconnu ce problème, lié à l'utilisation d'OAuth, un protocole libre d'authentification qui permet de ne pas renseigner le mot de passe à chaque fois que l'application est utilisée. Certains experts, de McAfee ou Sophos, admettent ne pas comprendre pourquoi Twitter n'a pas révoqué ces tokens OAuth.