Plus tôt cette semaine, le chaos a régné en maître sur Twitter alors que des personnalités publiques de premier plan – d'Elon Musk à Jeff Bezos en passant par le président Barack Obama – ont commencé à tweeter des liens vers la même arnaque Bitcoin.
La déclaration publique de Twitter et le rapport de Motherboard suggèrent que les attaquants ont eu accès à un outil d'administration interne à l'entreprise et l'ont utilisé pour reprendre ces comptes. Twitter indique qu'environ 130 comptes ont été ciblés . Selon Reuters, les attaquants ont proposé des comptes à vendre juste avant l'attaque frauduleuse du bitcoin.
L'étendue complète de l'attaque n'est pas claire à ce stade, y compris quelles autres capacités les attaquants pourraient avoir, ou quelles autres informations utilisateur ils auraient pu accéder et comment. Les utilisateurs ne peuvent pas éviter un piratage comme celui-ci en renforçant leur mot de passe ou en utilisant une authentification à deux facteurs (bien que vous devriez toujours prendre ces mesures pour vous protéger contre d'autres attaques beaucoup plus courantes). Au lieu de cela, il est de la responsabilité de Twitter de fournir des garanties internes solides. Même avec la solide équipe de sécurité de Twitter, il est presque impossible de se défendre contre toutes les menaces internes et les attaques d'ingénierie sociale, de sorte que ces protections doivent empêcher même un initié d'obtenir un accès inutile.
Les messages directs Twitter (ou DM), certaines des données utilisateur les plus sensibles de la plate-forme, sont vulnérables au type de compromis interne de cette semaine. C'est parce qu'ils ne sont pas chiffrés de bout en bout , donc Twitter lui-même y a accès. Cela signifie que Twitter peut les remettre en réponse aux demandes des forces de l'ordre, qu'ils peuvent être divulgués et que, dans le cas de l'attaque de cette semaine, l'accès interne peut être abusé par des pirates malveillants et des employés de Twitter eux-mêmes .
Le chiffrement de bout en bout fournit la protection interne robuste dont Twitter a besoin. Twitter n'aurait pas à se soucier de savoir si les attaquants de cette semaine ont lu ou exfiltré des DM s'ils les avaient chiffrés de bout en bout, comme nous demandons à Twitter de le faire depuis des années.
Le sénateur Ron Wyden a également appelé Twitter à crypter de bout en bout les DM après le piratage, rappelant au PDG de Twitter, Jack Dorsey, qu'il avait rassuré le sénateur qu'un cryptage de bout en bout était en cours il y a deux ans.
De nombreux autres systèmes de messagerie populaires utilisent déjà le chiffrement de bout en bout, notamment WhatsApp , iMessage et Signal . Même Facebook Messenger propose une option chiffrée de bout en bout, et Facebook a annoncé son intention de chiffrer de bout en bout tous ses outils de messagerie. Il est évident que Twitter devrait également protéger vos DM, et ils ont été décryptés depuis trop longtemps.
Enfin, nous allons tous en verser un pour l'équipe de réponse aux incidents de Twitter, vivre le cauchemar des réponses de sécurité en temps réel. Nous apprécions leur travail et @TwitterSupport pour avoir fourni des mises à jour continues sur l'enquête.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/07/after-weeks-hack-it-past-time-twitter-end-end-encrypt-direct-messages le Fri, 17 Jul 2020 18:38:36 +0000.