Plus tôt cette semaine, le chaos régnait en maître sur Twitter alors que des personnalités publiques de haut niveau – d'Elon Musk à Jeff Bezos en passant par le président Barack Obama – ont commencé à tweeter des liens vers la même arnaque Bitcoin.
La déclaration publique de Twitter et les rapports de Motherboard suggèrent que les attaquants ont eu accès à un outil d'administration interne de l'entreprise et l'ont utilisé pour prendre le contrôle de ces comptes. Twitter indique qu'environ 130 comptes ont été ciblés . Selon Reuters, les attaquants ont proposé des comptes à la vente juste avant l'attaque frauduleuse du bitcoin.
L'étendue totale de l'attaque n'est pas claire à ce stade, y compris les autres capacités dont les attaquants auraient pu disposer, ou les autres informations utilisateur auxquelles ils auraient pu accéder et comment. Les utilisateurs ne peuvent pas éviter un piratage comme celui-ci en renforçant leur mot de passe ou en utilisant une authentification à deux facteurs (bien que vous devriez toujours prendre ces mesures pour vous protéger contre d'autres attaques beaucoup plus courantes). Au lieu de cela, il est de la responsabilité de Twitter de fournir des garanties internes solides. Même avec la solide équipe de sécurité de Twitter, il est presque impossible de se défendre contre toutes les menaces internes et les attaques d'ingénierie sociale. Ces garanties doivent donc empêcher même un initié d'obtenir un accès inutile.
Les messages directs Twitter (ou DM), certaines des données utilisateur les plus sensibles de la plate-forme, sont vulnérables au type de compromis interne de cette semaine. C'est parce qu'ils ne sont pas cryptés de bout en bout , donc Twitter lui-même y a accès. Cela signifie que Twitter peut les remettre en réponse aux demandes des forces de l'ordre, qu'ils peuvent être divulgués et – dans le cas de l'attaque de cette semaine – l'accès interne peut être abusé par des pirates malveillants et des employés de Twitter eux-mêmes .
Le chiffrement de bout en bout fournit la protection interne robuste dont Twitter a besoin. Twitter n'aurait pas à se soucier de savoir si les attaquants de cette semaine lisent ou exfiltrent les DM s'ils les ont cryptés de bout en bout, comme nous demandons à Twitter de le faire depuis des années.
Le sénateur Ron Wyden a également appelé Twitter à crypter les DM de bout en bout après le piratage, rappelant au PDG de Twitter, Jack Dorsey, qu'il avait rassuré le sénateur que le cryptage de bout en bout était en cours il y a deux ans.
De nombreux autres systèmes de messagerie populaires utilisent déjà le cryptage de bout en bout, notamment WhatsApp , iMessage et Signal . Même Facebook Messenger propose une option chiffrée de bout en bout, et Facebook a annoncé son intention de chiffrer de bout en bout tous ses outils de messagerie. Il va sans dire que Twitter devrait également protéger vos DM, et ils n'ont pas été chiffrés pendant trop longtemps.
Enfin, nous allons tous en verser un pour l'équipe de réponse aux incidents de Twitter, vivant le cauchemar de la réponse de sécurité en temps réel. Nous apprécions leur travail et @TwitterSupport pour avoir fourni des mises à jour continues sur l'enquête.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/07/after-weeks-hack-it-past-time-twitter-end-end-encrypt-direct-messages le Fri, 17 Jul 2020 18:38:36 +0000.