Le site a confirmé que les informations de 5,4 millions de comptes ont été mises en vente par un pirate informatique. Des gouvernements autoritaires peuvent récupérer les données pour retrouver des opposants.

Twitter a admis ce vendredi 5 août qu’un acteur malveillant a mis en vente les informations privées de plusieurs millions d’utilisateurs sur un forum. Le pirate a profité d’une vulnérabilité dans le protocole d’authentification pour récupérer des numéros et des mails. La faille en question avait déjà été signalée par un expert en cybersécurité en janvier. Hélas, un fichier contenant les données de 5,4 millions de comptes a fini par être repéré sur un forum de hackers. L’auteur du message proposait de le céder pour 30 000 dollars (environ 29 400 euros). L’annonce n’est plus en ligne.

Twitter a mis du temps avant de confirmer cet incident. Dans un communiqué, le groupe indique qu’il informera « directement les propriétaires de compte que nous pouvons confirmer avoir été affectés par ce problème ». Le site prévient ne pas être en mesure pour l’instant de confirmer tous les comptes qui ont été potentiellement touchés par cette brèche.

Des failles de sécurité qui s’enchaînent

Cette fuite de donnée soulève un autre problème : la divulgation d’informations sur des utilisateurs sous pseudonyme, notamment ceux qui utilisent la plateforme das un pays autoritaire.

« Si vous exploitez un compte Twitter pseudonyme, nous comprenons les risques qu’un incident comme celui-ci peut introduire et regrettons profondément que cela se soit produit. Pour garder votre identité aussi masquée que possible, nous vous recommandons de ne pas ajouter de numéro de téléphone ou d’adresse e-mail publiquement connu à votre compte Twitter », écrit le site.

Problème : ces infos sont déjà en ligne, probablement vendues et seraient une mine d’or pour de nombreux pays, à l’instar de l’Iran ou l’Arabie saoudite. « Si le régime iranien peut obtenir une copie de ces données et trouver ensuite sa cible, peu importe si l’utilisateur supprime son compte tout de suite, car il sera déjà identifié depuis son numéro de téléphone ou son e-mail » a déclaré Amin Sabeti, fondateur de Cerfta Lab, au média américain CyberScoop. « Au final, il se peut que nous n’entendions jamais parler des victimes. Elles seront arrêtées ou même condamnées à mort. »

cell-phone-1245663_1920
Le réseau social Twitter, avec son application mobile sur un téléphone. // Source : Free-Photos / Pixabay

La plateforme de micro-blogging n’en est pas à son premier déboire. En mai, le groupe a accepté de payer 150 millions de dollars à la justice américaine pour avoir collecté des données à des fins publicitaires à l’insu des utilisateurs. En 2020, le site a également été condamné par le juge irlandais à verser 550 millions d’euros pour ne pas avoir informé les autorités suite à une autre fuite de données.

Ces problèmes de sécurité font le bonheur d’Elon Musk, le milliardaire étant en pleine bataille judiciaire avec les dirigeants du réseau social. Le patron de Tesla cherche en effet des arguments pour justifier la rupture d’un accord d’achat du groupe. Ce week-end, il a notamment mis en cause la prolifération de faux comptes sur la plateforme, un souci propre à plusieurs réseaux sociaux.