Twitter : Double authentification obsolète

1
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (5,00/5 - 1 vote(s))
Logo Twitter

Suite aux nombreux problèmes de sécurité qu’a connu Twitter ces dernières semaines, la plateforme de microblogging a officialisé la semaine dernière le système de double authentification (ou authentification dite forte) pour protéger l’ensemble de ses membres des pirates informatiques. Mauvaise nouvelle car dans le cas de Twitter cette double authentification ne sert strictement à rien et est d’ores et déjà obsolète !

En effet, le système de Twitter repose sur deux authentifications distinctes : le couple habituel de n0m d’utilisateur / mot de passe associé à un code secret de vérification unique envoyé sur le téléphone. Cependant et pour aller au plus vite, les équipes de Twitter se sont servies des serveurs SMS déjà installé pour mettre en place l’envoi du code unique.

Du coup, un hacker malveillant peut désactiver l’authentification en deux étapes, simplement en connaissant le numéro de téléphone de l’utilisateur. Il lui suffit d’envoyer un SMS à Twitter avec le mot STOP, en usurpant le numéro de l’utilisateur (technique dite de SMS Spoofing). Ainsi, les serveurs de Twitter interprètent cette action comme le fait d’arrêter l’envoi de SMS à l’abonné et donc désactive l’authentification forte. Cette fonctionnalité a été implémentée pour éviter les frais de roaming exorbitants lorsque l’abonné est par exemple à l’étranger.

Bien évidemment, Twitter et ses équipes sont maintenant au courant et nous devrions voir dans les prochaines heures arriver un correctif pour corriger cette ENORME faille.

Via

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

Message du commentaire manquant
Auteur du commentaire manquant