vendredi 24 mai 2019    || Inscription
BanniereNews
 
 

La sécurité sur Twitter est à nouveau mise en cause avec une astuce pour prendre le contrôle d’un compte lors de la modification de son mot de passe. Un utilisateur décrit son expérience en soulignant cette vulnérabilité.

Les comptes qui sont le plus visés sont ceux dont le nom d’utilisateur tient en un seul mot, par exemple @soleil. Samedi, Daniel Dennis Jones un producteur multimédia et utilisateur Twitter -aka @blanket à ce moment-là- reçoit un mail de Twitter comme quoi son mot de passe a bien été modifié.

Il s’aperçoit alors que :

  • ses tweets ont été supprimés;
  • il n’a plus de followers;
  • sa photo de profil et son thème ont été modifiés;
  • son nom d’utilisateur a été modifié par des obscénités;
  • son ancien nom d’utilisateur n’est plus disponible et est même en vente sur le site forumkorner.

Twitter, comme la plupart des sites, suspend un compte ou oblige l’utilisateur à rentrer un CAPTCHA après plusieurs tentatives infructueuses pour se connecter. Mais le problème est que Twitter limite le nombre de tentatives de mots de passe pour un même compte par adresse IP au lieu de le faire par compte comme le font Gmail et Facebook.

Ainsi il est relativement simple pour un hacker de prendre le contrôle d’un compte puisqu’il peut essayer de se connecter autant de fois qu’il le souhaite du moment que les tentatives proviennent d’une adresse IP différente. Bien entendu le hack a été facilité parce que son mot de passe était simple. Les hackers utilisent des listes de mots de passe ordinaires ou très répandus.

Si vous craignez pour la sécurité de votre compte Twitter il y a deux étapes très simples que vous pouvez suivre :

  • Associer votre numéro de portable (comme le propose Gmail depuis septembre 2010) au compte pour rendre tout hack pratiquement impossible.

  • Obliger Twitter à vous demander des informations personnelles pour modifier votre mot de passe.

Cette affaire illustre encore les problèmes de sécurité que rencontrent les sites internet et nous rappelle qu'il faut choisir un mot de passe fort et en changer très régulièrement.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 114810
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS



Événements SSI

HACK IN PARIS

Pour sa 9ème édition la conférence Hack In Paris sur la sécurité IT se tient du 16 au 20 juin 2019 à Paris, Maison de la Chimie. Organisée par Sysdream.

RSS