Twitter : 4 questions sur la fuite des données de plus de 200 millions d'utilisateurs

Un gigantesque fichier avec les adresses email de plus de 200 millions d'utilisateur de Twitter est désormais accessible presque gratuitement. Que contient-il exactement ? Comment ces données ont-elles fuité ? Que risquent les utilisateurs ? Quelles conséquences pour l'entreprise ? La Tribune fait le point.

François Manens

05 Jan 2023, 15:00

Le siège de Twitter à New York. (Crédits : Reuters)

Plus de 200 millions d'adresses email d'utilisateurs de Twitter sont accessibles publiquement. Elles se trouvent dans un fichier publié par un individu sur un forum très fréquenté par les hackers, facilement accessible depuis n'importe quel navigateur web. Autrement dit, pas besoin de passer par le réseau Tor ou le « dark web » pour le trouver. Le téléchargement des données coûte quelques crédits du site (à peine l'équivalent de deux euros), mais ces derniers peuvent aussi être obtenus en commentant et publiant sur le site. Ni Twitter ni Elon Musk ne se sont exprimés sur l'incident.

Que contient la base de données volée à Twitter ?

Chaque entrée de la base de données comprend l'email, l'identité, le nom d'affichage et le nombre d'abonnés d'un utilisateur, en plus de la date de création de son compte. La première version de la fuite de données contient 235 millions d'entrées, mais une version nettoyée par un autre utilisateur (sans les doublons) n'en compte « que » 209,6 millions. Ces données auraient été récupérées entre novembre et décembre 2021. A l'époque, Twitter comptait 217 millions d'utilisateurs quotidiens.

La semaine dernière, un individu sous le pseudo Ryushi vendait sur le même forum un fichier contenant prétendument les données de 400 millions de comptes Twitter, dont des numéros de téléphone. Il a menti à la fois sur la qualité et la quantité des données pour faire monter le prix de vente, en manipulant l'échantillon présenté comme preuve de bonne foi. Les numéros de téléphone auraient permis de lancer des tentatives de vol de comptes plus abouties, puisque la double authentification [le système qui demande l'entrée d'un code en plus du mot de passe lors de la connexion, ndlr] des comptes Twitter passe le plus souvent par SMS.

Comment les données des comptes Twitter ont-elles fuité ?

D'après les propos tenus sur le forum, les données ont été collectées grâce à une faille de l'API de Twitter, l'outil qui permet aux sites et autres logiciels de récupérer les données publiques du réseau social (par exemple, à des fins publicitaires, ou pour intégrer des tweets). Un bug de fonctionnement faisait que lorsqu'une requête était envoyée avec une adresse email et un mot de passe incorrect, la réponse de l'API contenait le nom d'utilisateur associé à l'adresse email. Un individu a abusé de ce dysfonctionnement pendant plusieurs jours, et récupéré plus de 200 millions d'entrées.

Autrement dit, l'API ne donnait pas directement de donnée privée, mais permettait de les découvrir indirectement. La faille avait été remontée à Twitter par un hacker éthique via le programme de bug bounty de Hacker One début 2022 et corrigée dans la foulée. En août, suite à la publication d'un premier jeu de données bien moins volumineux, Twitter avait confirmé l'existence de la faille et son lien avec la fuite. Ce bug était connu de plusieurs acteurs malveillants, d'après diverses sources, dont l'individu qui a créé le fichier en circulation.

Quels risques la fuite de données fait-elle peser sur les utilisateurs de Twitter ?

Le jeu de données permet d'associer trois informations : nom, pseudo et adresse email. De par son grand volume, il va très probablement être utilisé pour envoyer des phishings [le nom données aux messages malveillants, ndlr] de masse. Ces phishings auront pour objectif de pousser les destinataires à donner leurs emails ou mots de passe. Par exemple, un individu malveillant pourrait se servir de la base de données pour envoyer une vague d'arnaque au colis ou de phishing à la carte vitale. En conséquence, les personnes concernés par la fuite de données ne peuvent pas prendre de mesure de précaution en particulier, si ce n'est redoubler de vigilance.

En parallèle, certains comptes à intérêt vont être des cibles prioritaires et pourraient recevoir des phishings plus personnalisés et donc plus crédibles, comme le relève le spécialiste Alon Gal, de l'entreprise Hudson Rocks. L'expert liste quatre types de cibles :

Les comptes liés à la sphère des cryptomonnaies, par exemple avec « .eth » ou « bitcoin » dans leurs noms. Ce milieu est particulièrement visé par les phishings malveillants car certains adeptes sont attirés par l'appât de l'argent facile, et car en cas de coup réussi, les cryptomonnaies sont plus difficiles à traquer que la monnaie courante.

Les comptes certifiés et anciens, avec des noms recherchés. Ces derniers peuvent se vendre pour de bons prix sur des marchés noirs.

Les comptes d'organisations ou de personnalités politiques, pour promouvoir de fausses informations ou faire de la déstabilisation.

Les comptes suivis par de très nombreux abonnés, qui pourraient donner une large audience à la diffusion d'arnaques.

En 2020, lorsqu'un hacker de 17 ans avait réussi à prendre le contrôle de plusieurs comptes très en vue, dont ceux d'Elon Musk et de Barack Obama, il s'en était servi pour diffuser une arnaque aux cryptomonnaies. Cette dernière était simpliste : il promettait à ceux qui lui enverraient des bitcoin ou de l'Ethereum de renvoyer le double. Malgré la grossièreté du piège, le hacker avait récolté plusieurs dizaines de milliers d'euros en à peine deux heures, avant que le réseau social ne reprenne le contrôle.

Quelles conséquences pour Twitter ?

Fin novembre 2022, Facebook a récolté une amende de 265 millions d'euros de la part de l'autorité des données irlandaise pour violation du règlement général sur la protection des données (RGPD). Une des fonctionnalités du réseau social avait permis à des malfrats d'aspirer les données, et notamment les numéros de téléphones, de plus de 533 millions d'utilisateurs en 2019. Courant 2021, une base de données contenant ces informations a été publiée.

Twitter se retrouve face à une situation quasiment similaire, à la différence que la base de données contient des emails et non des numéros de téléphone, et qu'elle est d'une taille moins importante. Les régulateurs, notamment en Europe, pourraient donc sanctionner l'entreprise pour sa négligence. Pour l'instant, ni Twitter ni son nouveau propriétaire et dirigeant Elon Musk n'ont commenté la situation. Le milliardaire pourrait blâmer à juste titre la faute sur la précédente administration, mais cela ne dédouane pas l'entreprise.

Sujets les + lus

Sujets les + commentés

« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)

Guerre en Ukraine : face à l'augmentation des frappes russes, l'Allemagne envoie un autre système de défense antiaérienne Patriot

Rheinmetall, le géant allemand de l’armement, va ouvrir une usine d’obus de calibre 155 mm en Lituanie

Economie de guerre : Nexter se dit capable de fabriquer 12 canons Caesar par mois

Frédéric Valletoux : « Nous allons créer la consultation en soins infirmiers »

Commentaires 2

truc à écrit le 05/01/2023 à 20:28

Signaler

Qui n'a pas, de nos jours, un email 'poubelle' pour s'inscrire sur des sites en ligne?

Valbel89 à écrit le 05/01/2023 à 17:54

Signaler

Après Elon Musk, la fuite des données: le deuxième moyen de " couler" Tweeter. Le but des péripéties Tweeter n'est il pas justement l'élimination de ce réseau? Les raisons sont nombreuses même si de premier abord elles peuvent sembler saugrenues.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.