Twitter: un bug de l’API a exposé les clés et les tokens

Les développeurs sur Twitter ont été avertis d’une faille de sécurité qui pourrait avoir exposé les informations d’identification de leurs applications, y compris les clés d’application sensibles et les jetons(tokens) d’accès.

Le problème provenait d’un problème de mise en cache dans developer.twitter.com. Lorsque les développeurs ont visité ce site Web, il stockait temporairement des informations sur leurs applications dans le cache du navigateur sur l’ordinateur local, conformément à l’avis de sécurité envoyé aux développeurs et partagé sur Twitter. Le site Web developer.twitter.com est un hub central pour les développeurs Twitter, qui créent des applications tierces pour la plateforme. Ces applications permettent aux utilisateurs du réseau social d’incorporer plusieurs plates-formes dans leur compte, par exemple, OutTwit, une application Windows qui permet aux utilisateurs d’accéder à Twitter via Outlook.

twitter

«Si vous avez utilisé un ordinateur partagé pour visiter developer.twitter.com avec un compte Twitter connecté, nous vous recommandons de régénérer vos clés et jetons d’application», a déclaré la société américaine dans son communiqué.

Une attaque qui tirerait parti du problème serait complexe à mener. Un attaquant devrait visiter un ordinateur public (dans une bibliothèque, par exemple) juste après qu’un développeur ait utilisé cet ordinateur. Et, le développeur aurait dû visiter developer.twitter.com et utilisé certaines informations sensibles qui seraient ensuite stockées dans le cache du navigateur.

Cependant, Twitter a déclaré que si les circonstances se produisaient, en fonction des pages visitées et des informations consultées, les attaquants auraient pu accéder aux clés API des développeurs, au jeton d’accès utilisateur et à la clé secrète pour leur compte développeur.

Ces informations sont essentielles pour sécuriser les comptes normaux et les comptes de développeurs. Les clés d’interface de programmation d’application (API) sont un identifiant unique utilisé pour authentifier un utilisateur, un développeur ou un programme appelant auprès d’une API. Twitter a déclaré dans une description de ses clés API: “Considérez-les comme le nom d’utilisateur et le mot de passe qui représentent votre application de développeur lors des demandes d’API.” Un jeton d’accès et un secret de jeton d’accès, quant à eux, sont des informations d’identification spécifiques à l’utilisateur utilisées pour authentifier les demandes d’API OAuth. Ils précisent le compte pour lequel la requête est faite.

twitter

Twitter a corrigé la faille en modifiant les instructions de mise en cache que developer.twitter.com envoie au navigateur, l’empêchant de stocker des informations sur les applications ou les comptes des utilisateurs.

Un porte-parole du géant américain a cherché à minimiser le problème et a déclaré qu’il n’y avait actuellement aucune preuve que les clés et les jetons des applications des développeurs avaient été compromis. Ils n’ont pas précisé le nombre de développeurs qui ont été concernés par ce bug de sécurité.

“En raison de la nature du problème – le fait que ces informations n’auraient été stockées que temporairement dans le cache du navigateur côté client et ne seraient potentiellement compromises que si vous utilisiez un ordinateur public ou partagé – il est très peu probable que les informations d’identification de quiconque aient été compromises à leur insu », a déclaré un porte-parole de l’entreprise. «Par prudence, nous voulons nous assurer que les utilisateurs sont conscients du problème et savent comment réinitialiser leurs informations d’identification s’ils pensent avoir accédé à leur compte de développeur à partir d’un ordinateur public ou partagé.»

Twitter et ses utilisateurs

Cette faille de sécurité rend encore plus compliqué la relation avec la communauté des développeurs de Twitter. À partir de 2012, la société de réseaux sociaux aurait commencé à imposer des restrictions strictes aux développeurs, y compris en les bloquant des nouvelles fonctionnalités telles que les sondages et les DM de groupe. Les développeurs ont affirmé que Twitter poussait plutôt les utilisateurs vers les propres applications de l’entreprise.

Plus tôt dans l’année, une attaque d’hameçonnage ciblé mobile ciblant «un petit nombre d’employés» a conduit à une attaque majeure sans précédent en Juillet contre des comptes Twitter importants pour propager une arnaque Bitcoin. En Février, l’entreprise a déclaré que des acteurs malveillants, ayant des liens potentiels avec des groupes parrainés par des États, abusaient d’une fonction légitime sur sa plate-forme pour démasquer l’identité des utilisateurs.

Et en Décembre 2019, Twitter a recommandé aux utilisateurs d’Android de mettre à jour leur application pour éviter une faille de sécurité qui permet à un utilisateur malveillant d’accéder aux données de compte privé et pourrait également permettre à un attaquant de prendre le contrôle des comptes pour envoyer des tweets et des messages directs.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x