Twitter victime d'une grave faille de sécurité

Reposant sur la fonction SMS du site de microblogging, la faille en question permettait de poster des contenus à la place d'un utilisateur du réseau social. Elle vient d'être corrigée.

C'est l'expert en sécurité Jonathan Rudenberg qui a tiré la sonnette d'alarme hier sur son blog. Twitter a été victime d'une faille assez grave. Elle permettait de poster des tweets par SMS à la place d'un utilisateur de Twitter en usurpant son numéro de téléphone - et en le faisant apparaître en numéro d'expéditeur. Pour l'exploiter, il suffisait donc de connaitre le numéro d'un utilisateur de Twitter ayant activé la possibilité de twitter par SMS. La faille a été corrigée dans la foulée de cette alerte.

Selon Jonathan Rudenberg, une telle opération de spoofing est des plus simples à réaliser. Il suffit pour la mettre en œuvre de recourir à une passerelle SMS. Egalement pointé du doigt par Rudenberg, Facebook aurait été victime de la même faille, et l'aurait également comblée. L'expert dit avoir alerté les deux sites en août dernier, Twitter tardant à corriger le problème, il aurait décidé de divulguer l'information, forçant ainsi le site à réagir.