Twitter : Une faille de sécurité a permis de faire correspondre 17 millions de numéros de téléphone à des comptes d’utilisateurs

Un chercheur de sécurité dénommé Ibrahim Balic a déclaré à TechCrunch qu’il avait trouvé une faille de sécurité dans l’application Twitter sur Android. Cette faille, qu’il a exploitée, lui a permis d’associer 17 millions de numéros de téléphone à des comptes d’utilisateurs, nous rapporte TechCrunch le mardi 24 décembre 2019.

Selon Ibrahim Balic, il était possible de télécharger des listes entières de numéros de téléphone générés à partir de la fonction de téléchargement de contacts de Twitter. Il déclare même que « si vous téléchargez votre numéro de téléphone, Twitter vous fournit des données d’utilisateur en retour ».

Crédits Pixabay

Durant deux mois, Balic affirme avoir pu correspondre les numéros de téléphone avec des comptes d’utilisateurs en Israël, en Turquie, en Iran, en Grèce, en Arménie, en France et en Allemagne jusqu’à ce que finalement Twitter ait bloqué son activité le vendredi 20 décembre 2019.

Le chercheur a pu identifier 17 comptes d’utilisateurs

Apparemment, la fonctionnalité de téléchargement des contacts de Twitter n’accepte pas les listes de numéros de téléphone au format séquentiel. Selon le chercheur, c’est probablement un moyen qu’a établi le réseau social pour empêcher ce type de correspondance.

Malgré tout, lorsque le chercheur a envoyé sur Twitter des listes de plus de deux milliards de numéros de téléphone générés au hasard, il a pu connaître l’identité de 17 millions de comptes, car ces 17 millions de numéros de téléphone existaient bel et bien.

Twitter est exposé à plusieurs failles de sécurité ces temps-ci

Le chercheur avait également fourni un échantillon de numéros de téléphone à TechCrunch. Le site a pu notamment identifier un politicien israélien à l’aide de son numéro de téléphone.

Cependant, Balic n’a pas alerté Twitter de l’existence de la vulnérabilité. À la place, il a rapporté de nombreux numéros de téléphone d’utilisateurs influents sur Twitter, comme des politiciens et des fonctionnaires, dans un groupe WhatsApp afin de prévenir directement les utilisateurs.

Cette affaire survient en marge d’une autre défaillance de sécurité de Twitter récente, à propos de laquelle le réseau social a déclaré dans un article de blog qu’un bogue avait permis à « un mauvais acteur de voir des informations de compte non public ou de contrôler votre compte ». Néanmoins, un porte-parole de Twitter avait indiqué à TechCrunch que le réseau social s’efforçait de « garantir que ce bogue ne puisse plus être exploité ».

Mots-clés twitter