Des comptes Twitters volés à cause d'une fuite de clés API
Charles Gouin-Peyrot
Publié le 02 août 2022 · 3 min de lecture
" Sur 3 207, 230 apps laissent échapper les quatre informations d'authentification et peuvent être utilisées pour prendre entièrement le contrôle de leurs comptes Twitter et peuvent effectuer toute action critique/sensible ", ont déclaré les chercheurs.Ces actions peuvent aller de la lecture de messages directs à l'exécution d'actions arbitraires telles que retweeter, aimer et supprimer des tweets, suivre n'importe quel compte, supprimer des followers, accéder aux paramètres du compte et même modifier la photo de profil du compte. L'accès à l'API de Twitter nécessite la génération de clés secrètes et de jetons d'accès, qui servent de noms d'utilisateur et de mots de passe pour les applications ainsi que pour les utilisateurs au nom desquels les demandes d'API seront effectuées.
Un hacker en possession de ces informations peut donc créer une armée de bots Twitter qui pourrait potentiellement être exploitée pour diffuser des informations erronées/désinformées sur la plateforme.
"Lorsque plusieurs prises de contrôle de comptes peuvent être utilisées pour chanter la même chanson en tandem, cela ne fait que réitérer le message qui doit être diffusé", notent les chercheurs.De plus, dans un scénario hypothétique expliqué par CloudSEK, les clés API et les jetons récoltés à partir des applications mobiles peuvent être intégrés dans un programme pour lancer des logiciels malveillants à grande échelle via des comptes vérifiés afin de cibler leurs adeptes. Pour ajouter à l'inquiétude, il convient de noter que la fuite de clés ne se limite pas aux seules API de Twitter. Par le passé, les chercheurs de CloudSEK ont découvert les clés secrètes de comptes GitHub, AWS, HubSpot et Razorpay à partir d'applications mobiles non protégées. Pour limiter ce type d'attaque, il est recommandé de vérifier que le code ne contient pas de clés d'API directement codées en dur, et de procéder à une rotation périodique des clés afin de réduire les risques probables liés à une fuite.
"Les variables dans un environnement sont des moyens alternatifs pour se référer aux clés et les déguiser en dehors du fait de ne pas les intégrer dans le fichier source", ont déclaré les chercheurs. "Les variables permettent de gagner du temps et d'accroître la sécurité. Il convient de prendre des mesures adéquates pour s'assurer que les fichiers contenant des variables d'environnement ne sont pas inclus dans le code source."
L'auteur
Charles Gouin-Peyrot
Journaliste tech et testeur indépendant, je décrypte la tech grand public. Spécialisé dans le hardware, l'audio et la maison connectée, je mets ma rigueur technique et mon expérience de formateur au service de mes tests. Mon objectif est simple : dépasser les fiches techniques pour vous livrer des analyses transparentes, impartiales et ancrées dans un usage 100 % réel.