Charles TechCharles Tech
  • Tests High-Tech
    • Smartphones
      • iPhone
      • Asus
      • Huawei
      • Poco
      • Samsung
      • Xiaomi
    • Ordinateurs
      • PC fixe / gamer
      • PC portables
    • Composants PC
      • Cartes Graphiques
      • Processeurs
      • SSD
    • Eléctromenager
      • Aspirateurs robots
    • Périphériques
      • Claviers
      • Souris
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Vous lisez Des comptes Twitters volés à cause d’une fuite de clés API
Font ResizerAa
Charles TechCharles Tech
Font ResizerAa
Rechercher ...
  • Tests High-Tech
    • Smartphones
    • Ordinateurs
    • Composants PC
    • Eléctromenager
    • Périphériques
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Suivez-nous
Charles Tech > Actualité High-Tech : Toutes nos dernières news > Des comptes Twitters volés à cause d’une fuite de clés API

Des comptes Twitters volés à cause d’une fuite de clés API

Louis Touzalin
Louis Touzalin
Published: 02/08/2022
Last updated: 02/08/2022
Ce site utilise des liens affiliés qui participent aux revenus du site. En les utilisant, ça ne vous coûte pas plus cher, mais un pourcentage nous est reversé pour continuer à vous informer et à proposer des tests toujours plus complets.
Partager

Des chercheurs ont découvert une liste de 3 207 applications mobiles qui exposent en clair des clés API Twitter, dont certaines peuvent être utilisées pour obtenir un accès non autorisé aux comptes Twitter qui leur sont associés.

La prise de contrôle est rendue possible grâce à une fuite des informations légitimes de la clé du consommateur et du secret du consommateur, respectivement, a déclaré la société de cybersécurité CloudSEK, basée à Singapour, dans un rapport.

«  Sur 3 207, 230 apps laissent échapper les quatre informations d’authentification et peuvent être utilisées pour prendre entièrement le contrôle de leurs comptes Twitter et peuvent effectuer toute action critique/sensible « , ont déclaré les chercheurs.

Ces actions peuvent aller de la lecture de messages directs à l’exécution d’actions arbitraires telles que retweeter, aimer et supprimer des tweets, suivre n’importe quel compte, supprimer des followers, accéder aux paramètres du compte et même modifier la photo de profil du compte.

D'autres articles intéressants

Lexar ARES DDR4 : Un nouveau kit de RAM RGB par Lexar
Le Snapdragon 8 Gen 1 Surchauffe, l’Exynos 2200 se tient en embuscade
Apple : Un arrêt prochain des productions en Chine ?
Oppo Find N2 : Une apparition sur Geekbench nous donne un avant goût de ses performances
Samsung lancera ses Galaxy SmartTag 2 et sera suivi de Google

L’accès à l’API de Twitter nécessite la génération de clés secrètes et de jetons d’accès, qui servent de noms d’utilisateur et de mots de passe pour les applications ainsi que pour les utilisateurs au nom desquels les demandes d’API seront effectuées.

twitter

Un hacker en possession de ces informations peut donc créer une armée de bots Twitter qui pourrait potentiellement être exploitée pour diffuser des informations erronées/désinformées sur la plateforme.

« Lorsque plusieurs prises de contrôle de comptes peuvent être utilisées pour chanter la même chanson en tandem, cela ne fait que réitérer le message qui doit être diffusé« , notent les chercheurs.

De plus, dans un scénario hypothétique expliqué par CloudSEK, les clés API et les jetons récoltés à partir des applications mobiles peuvent être intégrés dans un programme pour lancer des logiciels malveillants à grande échelle via des comptes vérifiés afin de cibler leurs adeptes.

Pour ajouter à l’inquiétude, il convient de noter que la fuite de clés ne se limite pas aux seules API de Twitter. Par le passé, les chercheurs de CloudSEK ont découvert les clés secrètes de comptes GitHub, AWS, HubSpot et Razorpay à partir d’applications mobiles non protégées.

Pour limiter ce type d’attaque, il est recommandé de vérifier que le code ne contient pas de clés d’API directement codées en dur, et de procéder à une rotation périodique des clés afin de réduire les risques probables liés à une fuite.

« Les variables dans un environnement sont des moyens alternatifs pour se référer aux clés et les déguiser en dehors du fait de ne pas les intégrer dans le fichier source« , ont déclaré les chercheurs.

« Les variables permettent de gagner du temps et d’accroître la sécurité. Il convient de prendre des mesures adéquates pour s’assurer que les fichiers contenant des variables d’environnement ne sont pas inclus dans le code source. »

0/5 (0 Reviews)
Partager cet article
Facebook Email Copy Link Imprimer
Laisser une note

Laisser une note Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Sélectionnez une note

Notre partenaire

H9 Banner 300x600 FR

Réseaux sociaux

23kLike
38kSuivre
170Suivre
2.8kAbonnement
10.8kSuivre
1.1kSuivre
34Suivre

Vous aimerez aussi ...

Samsung Galaxy Z Fold 4 : Son appareil photo serait nettement amélioré

06/04/2022
yt musique

YouTube Music : téléchargez du contenu pour l’écouter hors connexion

24/02/2024
nvidia

Nvidia : De nouvelles annonces lors du Computex 2022

07/10/2023

Honor proposera une nouvelle gamme de produits durant l’IFA 2022

29/07/2022

A ne pas louper !

test asus rog phone 8pro avis (10)
Le Asus ROG Phone 8 n’a jamais été à un prix aussi intéressant
Bons plans
ecran msi 24 1440p 144hz promo amazon
Cet écran gamer 34 pouces et 144 Hz est en promo exceptionnelle
Bons plans
promotion alimentation asus tuf 1200w
Asus fait tomber le prix de cette alimentation 1200W à moins de 200€
Bons plans
  • Annoncer sur CharlesTech
  • Mentions légales
  • Contactez nous
  • À propos
  • Plan de site
© Charles Tech 2017 - 2025 - Toute reproduction (même partielle) interdite sous peine de poursuites.
Re !

Connectez-vous

Username or Email Address
Password

Vous avez perdu votre mot de passe ?