L
a semaine dernière, Twitter a déployé la double authentification pour des questions de sécurité et pour se protéger contre les agressions extérieures. Seulement voila, il semblerait que le processus soit très facile à pirater selon des experts en sécurité.
Surnommée “vérification de connexion”, cette fonction demande aux utilisateurs d’enregistrer un numéro de téléphone vérifié et une adresse e-mail confirmée.
Les chercheurs d’une entreprise spécialisée dans la sécurité en ligne, F-Secure, ont indiqué que la nouvelle mesure de protection ne fonctionne pas très bien. Un pirate peut facilement accéder à votre compte en utilisant le procédé du SMS, s’il connait le numéro de téléphone de la victime.
Le problème avec l’utilisation des téléphones mobiles pour la sécurité en ligne est que Twitter permet également d’envoyer des tweets à partir d’un téléphone. Cela permet ainsi à des hackers de connaître le compte lié au numéro et d’accéder aux données de l’utilisateur de cette façon.
Le hacker envoie alors un SMS à Twitter avec le mot “STOP” en volant le numéro de sa victime. Il s’agit de la technique de SMS Spoofing (une méthode d’usurpation de l’identité d’une machine).
Pour éviter des frais important de roaming à l’étranger, l’utilisateur peut suspendre l’envoi de SMS. Mais il suspend alors la nouvelle procédure d’authentification.
Et l’inverse est possible. Si vous n’avez pas activé la vérification par SMS, le pirate peut alors l’activer en mettant son numéro de téléphone, entrainant alors l’expulsion de l’utilisateur de son propre compte Twitter. Un changement de mot de passe sera également impossible.
Twitter a souvent eu des problèmes avec la sécurité des comptes des utilisateurs. L’authentification à deux étapes est un pas vers une meilleure protection contre les attaques en ligne mais encore faut-il qu’elle soit réellement efficace. Affaire à suivre.
