Suite aux nombreux problèmes de sécurité qu’a connu Twitter ces dernières semaines, la plateforme de microblogging a officialisé la semaine dernière le système de double authentification (ou authentification dite forte) pour protéger l’ensemble de ses membres des pirates informatiques. Mauvaise nouvelle car dans le cas de Twitter cette double authentification ne sert strictement à rien et est d’ores et déjà obsolète !
En effet, le système de Twitter repose sur deux authentifications distinctes : le couple habituel de n0m d’utilisateur / mot de passe associé à un code secret de vérification unique envoyé sur le téléphone. Cependant et pour aller au plus vite, les équipes de Twitter se sont servies des serveurs SMS déjà installé pour mettre en place l’envoi du code unique.
Du coup, un hacker malveillant peut désactiver l’authentification en deux étapes, simplement en connaissant le numéro de téléphone de l’utilisateur. Il lui suffit d’envoyer un SMS à Twitter avec le mot STOP, en usurpant le numéro de l’utilisateur (technique dite de SMS Spoofing). Ainsi, les serveurs de Twitter interprètent cette action comme le fait d’arrêter l’envoi de SMS à l’abonné et donc désactive l’authentification forte. Cette fonctionnalité a été implémentée pour éviter les frais de roaming exorbitants lorsque l’abonné est par exemple à l’étranger.
Bien évidemment, Twitter et ses équipes sont maintenant au courant et nous devrions voir dans les prochaines heures arriver un correctif pour corriger cette ENORME faille.
Les folies ordinaires
http://www.lejournaldepersonne.com/2013/05/les-folies-ordinaires/
Internet a donné libre cours à toutes sortes d’expressions. Nous ne nous sommes jamais sentis aussi libres pour nous exprimer, imprimer et même déprimer.
Mais Internet nous a donné aussi l’impression que le bon sens était la chose au monde la moins partagée… que nous étions un peu secoués, pas très nets au fond…