Comme la plupart des sites de médias sociaux, Twitter n’est pas étranger aux failles de sécurité. Au fil des ans, Twitter a été victime de nombreuses attaques malveillantes, certaines plus graves que d’autres. À quand remonte la première faille de sécurité de Twitter et à quoi ressemble la chronologie jusqu’à aujourd’hui ?
1. Les failles de sécurité de Twitter en 2009
La première violation notable de Twitter s’est produite en 2009. Elle a entraîné le piratage de 33 comptes différents, dont celui de Barack Obama, qui était le président des États-Unis à l’époque. Les outils d’assistance internes de Twitter ont été exploités par l’attaquant pour déchiffrer les mots de passe et réaliser ce piratage, qui s’est produit en même temps qu’une campagne d’hameçonnage ciblant également les utilisateurs de Twitter.
A Twitter blog post indique que les comptes ont été verrouillés dès que le personnel a eu connaissance du problème, et qu’il n’a pas fallu longtemps aux utilisateurs concernés pour reprendre le contrôle total.
Mais ce n’est pas la dernière brèche dont Twitter a été victime en 2009. En avril 2009, Twitter a connu un autre incident de sécurité lorsque le compte de messagerie personnel d’un employé a été compromis par un pirate. Le pirate a trouvé deux mots de passe et a modifié le mot de passe d’au moins un compte Twitter.
2. Les failles de 2013 sur Twitter
Les incidents de sécurité de Twitter en 2013 ont commencé en février. Cette faille était indéniablement énorme, avec environ 250 000 utilisateurs touchés.
Twitter n’a pas donné beaucoup de détails sur la nature de cette attaque et sur le ou les vecteurs utilisés. Mais un billet de blog de Twitter concernant l’incident indique que « les attaquants ont pu avoir accès à des informations limitées sur les utilisateurs – noms d’utilisateur, adresses électroniques, jetons de session et versions cryptées/salées des mots de passe – pour environ 250 000 utilisateurs ».
En avril 2013, l’Associated Press a déclaré que son compte Twitter avait été piraté, l’attaquant ayant téléchargé un message sur un faux incident de bombe survenu à la Maison Blanche. Ce piratage n’a affecté qu’un seul compte, et le compte lui-même a été verrouillé peu de temps après l’incident ; ce faux tweet a tout de même causé beaucoup d’agitation et d’inquiétudes inutiles.
3. Les failles de 2018 sur Twitter
En 2018, deux brèches de sécurité importantes ont eu lieu chez Twitter. La première, survenue en mai, concernait un bug au sein du propre code de Twitter, qui a laissé 330 millions de mots de passe d’utilisateurs exposés. En d’autres termes, toutes les personnes qui avaient un compte Twitter à l’époque étaient concernées par cette vulnérabilité. Le bogue a entraîné l’exposition des versions en clair (non cryptées) des mots de passe des utilisateurs dans le système interne de Twitter.
Dans un Twitter blog postles utilisateurs ont été informés que « les mots de passe étaient enregistrés dans un journal interne avant que le processus de hachage ne soit terminé ». Toutefois, les utilisateurs ont également été rassurés dans le même billet qu’aucun abus du bogue n’avait été détecté.
Plus tard dans l’année, en décembre, une autre faille logicielle de Twitter a été annoncée par l’entreprise, qui avait entraîné une faille de sécurité le mois précédent. Cette faille a entraîné la fuite des numéros de téléphone et des codes de pays des utilisateurs. En outre, la faille révélait si un compte donné avait été verrouillé. Heureusement, Twitter a rapidement résolu le problème, un jour seulement après le début des investigations.
4. Les brèches de 2019 sur Twitter
La seconde moitié de 2019 a apporté une vague de problèmes de sécurité et de confidentialité pour Twitter, à partir d’octobre. Mais ce premier incident était en fait la faute de Twitter lui-même. En effet, Twitter a admis avoir violé la vie privée de ses utilisateurs en utilisant des données personnelles
Dans une déclaration de Twitter, il a été affirmé que ces données avaient été « utilisées par inadvertance à des fins publicitaires », ce qui indique que l’entreprise ne les a pas utilisées sciemment. Les adresses électroniques et les numéros de téléphone ont été utilisés par Twitter dans ses systèmes publicitaires Tailored Audiences et Partner Audiences, prétendument à des fins de sécurité. Quoi qu’il en soit, les gens ont commencé à remettre en question l’intégrité de la plateforme de médias sociaux.
En novembre 2019, Twitter a rencontré deux problèmes de sécurité, le premier concernant ses propres anciens employés. En l’occurrence, deux anciens employés de Twitter ont été accusés d’avoir espionné des utilisateurs pour le compte de l’Arabie saoudite.
Selon The Guardian, les deux employés ont obtenu des informations sur les comptes personnels de milliers d’utilisateurs sans autorisation pour le compte de responsables saoudiens. Les deux auteurs, l’un citoyen américain et l’autre citoyen saoudien, ont même pénétré dans certains comptes très connus, comme celui du célèbre journaliste Omar Abdulaziz. En échange des informations fournies, les deux hommes auraient reçu une montre de marque et des dizaines de milliers de dollars.
Plus tard en novembre, un bogue dans le logiciel d’un magasin d’applications a entraîné la fuite des données de centaines d’utilisateurs de Twitter. Les utilisateurs concernés avaient utilisé leur compte Twitter pour se connecter à diverses applications du Google Play Store, ce qui a conduit à la violation. Au cœur du problème se trouvait un kit de développement appelé One Audience. One Audience a permis un accès non autorisé aux informations personnelles des utilisateurs de Twitter, ce qui constitue une violation. Twitter n’a pas tardé à informer les boutiques d’applications concernées de l’existence de ce bogue.
5. La faille de Twitter en 2020
2020 a été une année difficile pour tout le monde, avec la pandémie de COVID-19 qui a provoqué une onde de choc mondiale. Mais l’année 2020 a également été marquée par une brèche dans Twitter qui n’a pas seulement visé des comptes ordinaires, mais aussi des comptes très connus appartenant à Elon Musk, Bill Gates, Kanye West et à plus d’une centaine d’autres personnalités publiques.
Le 15 juillet, Twitter a confirmé l’existence d’un incident de sécurité, sans toutefois donner plus de détails.
Ces comptes très médiatisés ont été utilisés pour diffuser des escroqueries à la crypto-monnaie. Par exemple, le compte de Joe Biden a été compromis, le pirate déclarant que Biden doublait tous les fonds en bitcoins envoyés à l’adresse de portefeuille fournie et les renvoyait aux expéditeurs d’origine. Bien entendu, aucun crypto n’a été doublé, ni retourné du tout. Le même portefeuille Bitcoin a été affiché sur chaque compte compromis, qui a finalement accumulé 11 bitcoins, d’une valeur de plus de 100 000 dollars à l’époque.
6. La faille de 2021/2022 sur Twitter
2022 n’a pas été une grande année pour le géant des médias sociaux, avec des controverses autour de la nouvelle propriété de Twitter, la monétisation du badge de vérification, et un bon nombre d’incidents de sécurité.
La première faille de sécurité de Twitter en 2022 s’est produite en juillet, lorsqu’un individu sur un forum de piratage a affirmé avoir accédé aux données de plus de cinq millions d’utilisateurs de Twitter. Les données volées comprenaient des adresses électroniques et des numéros de téléphone.
L’individu a volé ces données en exploitant un bogue logiciel dans les systèmes de Twitter. Bien que Twitter ait corrigé le problème et n’ait trouvé aucune preuve d’exploitation, cela ne s’est pas avéré être le cas.
Twitter s’est efforcé de vérifier si l’utilisateur du forum de piratage était sincère dans ses affirmations. Dans un Twitter Privacy postLa société a déclaré qu' »après avoir examiné un échantillon des données disponibles pour la vente », [it] a confirmé qu’un mauvais acteur avait profité du problème avant qu’il ne soit résolu ».
Cela a conduit à un autre problème majeur pour Twitter. En novembre de la même année, le pirate qui prétendait détenir les données de plus de cinq millions d’utilisateurs en juillet a finalement publié les informations volées. Il s’est avéré que le pirate avait exploité le bogue en 2021, plusieurs mois avant que Twitter ne soit informé de son existence.
7. La première faille de 2023 sur Twitter
À l’heure où nous écrivons ces lignes, l’année 2023 n’est pas encore terminée, et il est donc possible que d’autres failles surviennent cette année. Mais un problème de sécurité majeur est apparu chez Twitter au début de la nouvelle année.
En janvier, plusieurs médias ont rapporté qu’un nombre choquant de 235 millions de comptes Twitter avaient vu leur adresse électronique partagée sur un forum de piratage. Bien que les données volées ne soient pas très sensibles, elles peuvent néanmoins présenter un risque pour les utilisateurs si les adresses électroniques divulguées sont exploitées par d’autres acteurs malveillants.
Le passé de Twitter est truffé de failles de sécurité
Depuis son lancement en 2006, Twitter a dû faire face à de nombreux incidents liés à la sécurité et à la protection de la vie privée, qu’ils soient le fait de pirates informatiques, d’anciens employés ou de l’entreprise elle-même. Les utilisateurs devraient toujours essayer d’utiliser toutes les mesures de sécurité à leur disposition pour éviter d’être pris pour cible, mais parfois, il est tout simplement impossible d’empêcher ces individus illicites d’accéder aux données ou à l’argent qu’ils désirent.