En détournant l'API du réseau social, une personne mal intentionnée cherchait à mettre en corrélation les noms d'utilisateurs et leur numéro de téléphone personnel.

Réseau social aux 330 millions d’utilisateurs, Twitter est moins systématiquement sous les projecteurs que son comparse Facebook. Aujourd’hui cependant il fait les gros titres en rapportant sur son blog avoir découvert, le 24 décembre, une utilisation frauduleuse de son API (Interface de programmation d’applications) par un vaste réseau de faux comptes qui cherchait à faire correspondre les noms d’utilisateurs aux numéros de téléphone. Twitter rapporte avoir immédiatement suspendu ces comptes et divulgue aujourd’hui les détails de son enquête. Au cours de celle-ci, le réseau social à l’oiseau bleu a découvert qu’un nombre “particulièrement élevé de demandes” émanait d’adresses IP situées en Iran, en Israël et en Malaisie. Twitter n’écarte pas la possibilité que ces adresses IP “aient des liens avec des acteurs sponsorisés par l’État“, c’est-à-dire des agences de renseignement ou des groupes de hackers.

Tous les utilisateurs ne sont pas touchés

Les attaquants ont détournés un “point de terminaison” (endpoint) qui permet aux nouveaux titulaires de compte de trouver plus facilement les personnes qu’ils connaissent déjà sur Twitter en faisant correspondre les numéros de téléphone aux comptes Twitter. Cela n’est cependant vrai que pour les personnes ayant activé l’option “Laisser les personnes qui ont votre numéro de téléphone vous trouver sur Twitter” et qui ont un numéro de téléphone associé à leur compte Twitter. Les autres n’ont pas été exposées par cette vulnérabilité. Suite à l’enquête, Twitter a modifié le fonctionnement de l’API “afin qu’il ne puisse plus retourner de noms de compte spécifiques en réponse à des requêtes” et a suspendu tout compte suspecté d’avoir mal agi.

Un rapport de Techcrunch à l’origine de l’enquête

ZDNet rapporte que Twitter a pris conscience du problème suite à un article de Techcrunch illustrant le travail d’un chercheur en sécurité qui a abusé de la même API Twitter pour faire correspondre 17 millions de numéros de téléphone à des noms d’utilisateurs publics. En enquêtant sur ce phénomène, le réseau social a découvert que d’autres personnes avaient profité de cette faille de conception pour récolter des numéros de téléphone. Quoi qu’il en soit, le problème est aujourd’hui corrigé.