Twitter met en pause l'option permettant de publier des tweets par SMS. La fonction, bien qu'utile si on n'utilise pas l'application mobile du réseau social, pose un souci en cas de piratage par SIM Swapping.

Vous avez l’habitude de publier vos tweets par SMS ? Hélas, il va falloir opter pour une alternative : Twitter a annoncé le 4 septembre que cette option est temporairement suspendue, pour des raisons de sécurité. Inutile de chercher bien loin l’origine de cette décision : c’est le détournement du compte de Jack Dorsey, le fondateur et patron de Twitter, qui a convaincu l’entreprise d’y mettre un coup d’arrêt.

L’incident, survenu à la toute fin du mois d’août, n’a duré en tout et pour tout qu’une dizaine de minutes, entre le moment où les premiers messages injurieux ont émergé et l’intervention des équipes du réseau social pour les retirer et rendre à son propriétaire légitime l’accès à son profil. Mais parce que la victime s’appelle Jack Dorsey, l’affaire a eu un retentissement médiatique considérable.

Le retrait des tweets par SMS est pris « en raison des vulnérabilités auxquelles les opérateurs de téléphonie mobile doivent remédier et de notre dépendance à l’égard d’un numéro de téléphone lié [au compte] pour l’authentification à deux facteurs », fait savoir Twitter. Sa réactivation se fera prochainement, à une date indéterminée, dès que les faiblesses identifiées seront maîtrisées.

Pour protéger l’accès à un compte, Twitter demande de renseigner le mot de passe associé à l’identifiant, mais il est aussi possible de renforcer la connexion avec une couche de sécurité supplémentaire : la double authentification. Celle-ci consiste à entrer un second code de sécurité. Ce dernier est envoyé ou généré sur un appareil préalablement lié au compte, typiquement un smartphone.

Or, cette double authentification peut être mise en œuvre de trois façons différentes chez Twitter : par l’utilisation d’une application dédiée qui génère périodiquement des codes de vérification ; par une clef de sécurité physique, en la branchant sur le PC ; ou par l’envoi d’un SMS sur le numéro de téléphone associé au compte. Sauf que cette dernière méthode est vulnérable au SIM Swapping.

Le SIM Swapping ?

Pour le dire en quelques mots, le SIM Swap est une technique qui sert à prendre le contrôle d’un numéro de téléphone.

Un tiers malveillant se fait passer pour un client (en l’espèce, la cible qu’il veut victimiser) d’un opérateur de téléphonie mobile et prétexte la perte, le vol ou la panne de sa carte SIM. Il demande alors de lier le numéro à une nouvelle carte SIM, qu’il a en sa possession, en se montant le plus convaincant possible (généralement, en donnant des détails personnels du client qu’il a préalablement glanés).

cartes sim
Le SWIM Swap permet de faire passer frauduleusement un numéro de téléphone d’une carte SIM à une autre. // Source : PublicDomainPictures

Si cela marche, alors les appels et les textos à destination de la cible sont redirigés non plus sur son smartphone mais sur celui du pirate. C’est ainsi que Jack Dorsey s’est fait avoir de toute évidence. Et donc, avec cette méthode, la double authentification par SMS devient vulnérable, puisque le code de connexion n’est pas transmis au bon téléphone. Reste toutefois un obstacle : le mot de passe.

C’est là le souci de la fonctionnalité des tweets par SMS : elle ne demande ni mot de passe ni code de validation. Il faut juste envoyer les messages depuis le numéro de téléphone lié au compte pour publier (cette option est intéressante pour les personnes ayant un mobile basique, qui ne peut pas gérer les applications, par exemple), le système considérant que c’est forcément la bonne personne qui a accès au numéro.

À lire sur Numerama : Qu’est-ce que le SIM Swap, cette technique qui permet de hacker des comptes comme celui du CEO de Twitter  ?

Partager sur les réseaux sociaux