La semaine dernière, et après plusieurs mois d’attente, Twitter a mis en place une nouvelle fonctionnalité visant à mieux protéger nos comptes. Cette fonctionnalité, c’est la très fameuse identification en deux étapes qui a fait couler pas mal d’encre au fil de ces derniers mois, cette même identification en deux étapes qui auraient été inventée par… Kim Dotcom. Une bonne initiative, certes, mais il semblerait que cette mesure ne soit pas aussi sécurisée qu’on le croyait. Non, et en réalité, il existerait plusieurs manières de contourner la protection, et donc de la cracker. Vous en doutez ? Très bien, mais vous devriez tout-de-même jeter un oeil à la suite de cet article…
Avant d’aller plus loin, il faut cependant rappeler que si l’identification en deux étapes est bien apparente dans les paramètres de Twitter, et ce pour tous les comptes, elle n’est pas active pour autant. En réalité, pour en profiter, il est nécessaire de rattacher notre numéro de portable à notre compte. Logique, me direz-vous, mais là où le bât blesse, c’est que Twitter n’accepte pas encore les numéros de téléphone des opérateurs téléphoniques français. C’est dommage, hein ?
Quoi qu’il en soit, cela n’a pas empêché les spécialistes de F-Secure de se pencher très sérieusement sur la question et d’analyser, en détails, la procédure mise en place par Twitter. Tout l’intérêt de la chose, c’est que leurs conclusions concernent finalement tous les sites ayant mis en place cette mesure de protection, et elles prouvent ainsi que l’identification en deux étapes n’est pas forcément la solution à tous nos problèmes.
Comment cracker l’identification en deux étapes de Twitter ?
Bon, alors comment on la cracke, cette protection ? Avec un peu de bon sens, en fait. La première méthode est assez simple puisqu’elle consiste tout bonnement à supprimer le lien entre le téléphone portable de la cible et son compte Twitter. Comment ? En usurpant son numéro de téléphone grâce à des techniques de “SMS Spoofing” et en envoyant un simple “STOP” par message texte à Twitter. Alors bien sûr, pour mettre en place cette stratégie, il faudra avoir un minimum de connaissances techniques, mais il existe d’autres méthodes nettement plus simples, et accessibles.
Tenez, par exemple, si le pirate parvient à obtenir le mot de passe d’un utilisateur avant que ce dernier ne mette en place cette protection, il lui suffira de configuration l’identification en deux étapes avec son propre numéro afin d’assurer l’accès au compte. Même chose, en mettant en place une copie du portail de Twitter, il sera très simple de récupérer en quelques minutes toutes les données d’identification du compte, ce qui comprend aussi le code envoyé par SMS, le mot de passe du compte et pas mal d’autres choses.
Si vous avez envie d’en savoir plus sur la question, le mieux c’est sans doute d’aller faire un tour sur le blog de F-Secure.