« Si des attaquants parviennent à pirater les données d'authentification utilisateurs, ils peuvent détourner le système d'authentification à deux facteurs de Twitter et empêcher ceux qui ne l'ont pas activé d'accéder à leurs comptes », ont affirmé les chercheurs du vendeur de solutions de sécurité et d'antivirus finlandais F-Secure. L'authentification à deux facteurs a été ajoutée la semaine dernière par Twitter mais elle ne fonctionne pas encore avec tous les opérateurs (impossible avec Orange en France par exemple). L'activation de ce système de sécurité est optionnelle. Elle a pour but de rendre le détournement de comptes plus difficile aux éventuels pirates, même s'ils parviennent à voler les identifiants et mots de passe utilisateurs. Quand elle est activée, la fonctionnalité ajoute un second facteur d'authentification : l'utilisateur reçoit par SMS un code secret supplémentaire pour se connecter.

Sean Sullivan, conseiller en sécurité chez F-Secure, a abordé la question dans un blog. Selon lui, les attaquants pourraient utiliser de cette fonction pour abuser plus longtemps de leur accès aux comptes dont l'authentification à deux facteurs n'est pas activée. « S'il parvient à voler les identifiants de connexion d'un utilisateur - par phishing ou autre méthode - le pirate peut très bien associer un numéro de téléphone prépayé avec le compte usurpé, et activer ensuite l'authentification à deux facteurs », a déclaré hier le chercheur. « Dans ce cas, le véritable propriétaire ne sera plus en mesure de récupérer son compte en réinitialisant simplement son mot de passe, et il devra contacter le service de Twitter », a-t-il ajouté. Selon Sean Sullivan, « ce détournement est possible parce que Twitter ne vérifie pas si celui qui accède à un compte via le site web du réseau social est également autorisé à activer l'authentification à deux facteurs ».

Impossible avec un compte Twitter partager à plusieurs

Lorsque l'option d'authentification à deux facteurs, appelée « Sécurité du compte » est activée pour la première fois sur la page des paramètres de compte, le site demande aux utilisateurs s'ils ont bien reçu un message test envoyé sur leur téléphone. « Or, il est possible de cliquer sur « oui », même si l'on n'a pas reçu ledit message », explique le chercheur. « Twitter devrait envoyer un lien de confirmation à l'adresse mail associée au compte du propriétaire pour vérifier qu'il a bien demandé à activer l'authentification à deux facteurs », a déclaré Sean Sullivan. En l'état, le chercheur craint que cette fonctionnalité ne soit utilisée par des attaquants déterminés, comme le groupe de pirates Syrian Electronic Army qui a récemment détourné les comptes Twitter de plusieurs organes de presse, pour prolonger leur accès non autorisé à des comptes compromis.

Certains chercheurs en sécurité ont déjà expliqué que, dans son implémentation actuelle, la fonction d'authentification à deux facteurs de Twitter était impraticable pour les agences de presse et les entreprises dont les équipes de médias sociaux sont dispersées géographiquement, où différents salariés ont accès au même compte Twitter et ne peuvent pas partager un numéro de téléphone unique pour s'authentifier. Pour l'instant, Twitter n'a pas fait de commentaire sur le problème soulevé par le chercheur de F-Secure. « Il est probable que Twitter a mis en oeuvre cette fonctionnalité trop rapidement et n'a pas tenu compte de tous les aspects du processus », a estimé le chercheur qui pense cependant que, « ce n'est que la première étape et Twitter va finir par revoir et renforcer sa procédure ».