En début d'après-midi, le compte Twitter officiel d'Auchan se faisait pirater et tenait des propos pour le moins... inhabituels. Ce n'est pas la première fois que ce genre de choses arrive, et le service de micro-blogging a même indiqué que de plus en plus de tentatives allaient être rencontrées. Et ce n'est pas la double authentification mise en place il y a peu qui va y changer quelque chose, puisqu'elle protège l'accès par Twitter, mais pas par les applications tierces. Explications.
Twitter est un service de micro-blogging qui existe depuis mars 2006. Mais ces dernières années, le site a pris de l'ampleur un peu partout dans le monde. Il est ainsi devenu un large centre d'intérêt pour les sociétés qui y assurent une présence et s'en servent comme plateforme publicitaire, et donc une cible de choix pour les pirates en tous genres. Les tentatives d'usurpation de compte se multiplient donc.
Twitter gagne en popularité, mais attire aussi de plus en plus de problèmes
On a ainsi pu voir la diplomatie française insulter les Roumains, Fox News annoncer la mort d'Obama, Lady Gaga et Nelly Furtado offrir des produits Apple, Reuters annoncer un peu tout et n'importe quoi et dernièrement c'est Associated Press qui annonçait que la maison blanche était attaquée, faisant chuter la bourse quelques instants.
Mais les cibles ne sont pas forcément toujours de cette taille, et après Mc Donald's France, c'est Auchan qui a eu droit à la visite d'un petit malin qui a tweeté tout un tas de bêtises en début d'après-midi. Le compte a rapidement été nettoyé, mais cela a recommencé quelques minutes plus tard., puis nettoyé à nouveau.
Le compte Auchan France en début d'après-midi
L'évolution de Twitter, un problème général, qui touche aussi la sécurité
Derrière toutes ces attaques se cache une problématique de fond : l'évolution de Twitter de manière globale, et celle de sa sécurité en particulier. En effet, si le service travaille d'arrache-pied pour améliorer les profils, ses applications mobiles, rajouter des publicités, un hashtag dédié au cours de bourse, changer son design, fermer la version 1.0 de son API, rajouter un éditeur de photos et pousser Vine... dans le fond, il n'y a pas grand-chose de réellement nouveau. La gestion des listes par exemple est toujours autant à l'abandon, l'affichage des conversations semble en cours de refonte, mais sans que rien ne soit annoncé, etc.
Il y a bien eu quelques tentatives comme l'arrivée de Twitter Music par exemple, mais le service n'a pas la même capacité à se repenser et à se remettre en question comme peuvent l'avoir Facebook et Google+ par exemple. Que l'on apprécie ou pas les choix qui sont faits par ces derniers, ils tentent des choses là où Twitter donne une certaine impression d'inertie. Il en est d'ailleurs de même pour la gestion de sa sécurité.
Google+ a annoncé une énième refonte complète en mai, et se remet constamment en question
Jusqu'à il y a encore quelques semaines, seuls un login et un mot de passe protégeaient l'ensemble des comptes : le vôtre, le nôtre, celui d'Auchan ou même de Barack Obama. Une hérésie pensez-vous ? Vous avez raison. Un changement a néanmoins eu lieu en avril suite au piratage du compte d'AP : l'authentification en deux étapes. Celui-ci suffirait à résoudre tous les problèmes ? Pas du tout, et encore moins dans le cas de Twitter.
La double authentification est utile, lorsqu'elle est bien implémentée
Pour faire simple, le but d'une authentification en deux étapes est de rajouter un élément aléatoire à la procédure de connexion, vu le couple login / mot de passe est bien souvent le même de site en site pour un même utilisateur. Vous devez donc entrer en complément un code qui ne peut être connu que de vous seul. La manière de générer ce dernier varie d'un service à l'autre. Certains utilisent un composant matériel (Paypal, Blizzard...), une application mobile (Google, Facebook, Blizzard, Dropbox...), un simple envoi par mail (Steam) ou par SMS. C'est cette dernière méthode qui est utilisée par Twitter, et elle est à la source d'un des problèmes du service qui se cumule à de nombreux autres.
Tout d'abord, il faut savoir que cette double authentification n'est pas disponible pour tout le monde. En effet, Twitter manque d'accord avec les opérateurs locaux, et c'est par exemple le cas en France. Si vous pouvez bien activer l'option, il est impossible de rattacher un smartphone à votre compte. Il est donc de toute façon impossible de se protéger de la sorte.
Ensuite, un compte Twitter ne peut être administré officiellement que par une personne, même lorsqu'il s'agit d'un compte de marque. Contrairement aux pages Facebook et Google+ par exemple, dont la gestion fonctionne sur le principe d'une liste d'utilisateurs avec des droits plus ou moins importants, c'est donc le compte de la société qui devra être protégé, et son mot de passe partagé entre les différentes personnes pouvant y avoir accès. En cas de changement dans l'équipe, il faut donc aussi renouveller le mot de passe et le leur transmettre.
L'authentification en deux étapes est d'ailleurs là un souci supplémentaire. Un compte dispose d'un seul téléphone associé. Si un premier employé le garde avec lui, comment un second fait-il pour se connecter avec le compte de l'entreprise ? Il doit demander à chaque fois ce fameux code... pas vraiment très pratique.
Pendant un temps, Twitter semblait faire des essais sur la gestion partagée d'un compte, afin de permettre à plusieurs utilisateurs de disposer de droit de publication, avec une révocation d'accès. Cela n'a, semble-t-il, jamais vu le jour, tout du moins de manière généralisée.
Les applications tierces : le maillon faible de la chaîne
Mais le plus gros problème est de toute façon ailleurs : la gestion des applications tierces. Pour pallier le manque de la gestion unifiée des comptes, de nombreux outils ont vu le jour. C'était par exemple le cas de TweetDeck qui permettait aussi la gestion des comptes et pages Facebook (ce qui n'est plus le cas), mais aussi de Hootsuite par exemple, qui est une solution pensée pour les « Community managers » et autre personne gérant de nombreux comptes sur de multiples réseaux.
Ces Applications n'utilisent pas la procédure de connexion standard pour accéder à votre compte Twitter, par souci de sécurité, mais le protocole OAuth, tout comme des tas de clients tiers par exemple : Echofon, Tweetbot, Plume... Pour faire simple : lors de l'ajout du compte à l'application, vous devez rentrer votre login et votre mot de passe pour valider l'accès. Ensuite, ce ne sera plus nécessaire, l'application pourra gérer votre compte jusqu'à ce que vous révoquiez l'autorisation dans les paramètres de Twitter.
La connexion à TweetDeck n'est assurée que par un simple mot de passe
Lors de l'ajout de la procédure de login en deux étapes, Twitter a modifié un peu cette façon de faire. Pour rajouter une application, il faut lui générer un mot de passe valable seulement une heure. Mais cela ne change rien ensuite : si l'application est autorisée, chaque personne y ayant accès peut publier sur votre compte.
Dans le monde de la sécurité, c'est toujours le maillon le plus faible de la chaîne qui doit être attaqué. Pour accéder à un compte, il ne sert donc à rien de tenter de le faire via le site de Twitter qui est protégé par une authentification en deux étapes, il suffit de tenter de le faire via une application tierce où l'accès est bien moins contrôlé. TweetDeck et les autres applications du genre ne sont ainsi protégées que par un simple couple login / mot de passe, et l'expiration de la session courante est assez rare.
Faut-il protéger vos données monétisées, ou votre vie numérique ?
La problématique ne se limite d'ailleurs pas à Twitter, et devient encore plus importante sur les mobiles : protégez-vous l'accès à ce dernier via un mot de passe ? Que se passe-t-il si on vous le vole ? Si vous avez accès à un compte sensible, cela peut vite poser un problème assez grave puisque le mot de passe de connexion n'est pas demandé de manière récurrente.
Certains comme Facebook proposent de révoquer une session sur demande, via votre panneau de gestion de la sécurité du compte, et vous permettent de récupérer un accès via la participation de plusieurs amis en cas de problème par exemple. Mais ils sont bien seuls sur la mise en place de ces procédures.
Dans tous les cas, on voit bien que l'omniprésence de l'identité numérique devient un problème majeur en terme de sécurité, et il est forcément complexe de trouver un juste milieu entre simplicité et protection de vos données. Mais à l'heure où il est encore possible de perdre toute sa vie en ligne en assez peu de temps, où un état peu s'arroger le droit de vous espionner comme bon lui semble, et où la majorité des échanges passe par les mails qui ne sont rien de plus que des cartes postales virtuelles sans identification obligatoire des auteurs, qui ne sont pas toujours très bien protégés, il semblerait important de repenser de manière assez large la sécurité des utilisateurs et des citoyens.
Une prise de conscience qui commence à faire son chemin, mais qui ne va pour le moment jamais assez loin. En effet, les sociétés cherchent-elles plus à assurer votre sécurité ou celle des données que vous mettez à leur disposition, et qu'elles monétisent ? Après tout, il s'agit surtout de leur fonds de commerce. Une question qui se pose d'autant plus lorsque l'on regarde les rares initiatives qui émergent, comme lorsque l'État décide d'agir sur ce terrain, notamment en France.
Votre sécurité en ligne : veut-on réellement s'en donner les moyens ?
Lorsque c'est le cas, est-ce pour éviter le phising en imposant une signature des mails lorsque ses services, des banques ou des sociétés comme EDF vous contactent ? Est-ce pour vous expliquer comment chiffrer vos données en ligne et vos communications, comment ne pas se faire pirater sa connexion internet ou comment ne pas être constamment tracé ? Non, c'est pour relancer des initiatives comme IDéNum, qui semble pour le moment vouloir se contenter de faciliter les échanges commerciaux et le paiement en ligne, alors que le problème est bien plus large.
La Crypto Stick
Espérons qu'au final il sera assez bien pensé et assez ouvert pour proposer une sécurisation du citoyen et de son identité de manière généralisée, tout en assurant une indépendance des services de l'État, comme certains en rêvent avec le projet CryptoStick. Mais peut-être est-ce là le souci : y'a-t-il une réelle volonté générale pour inciter chacun à mieux assurer sa sécurité de manière générale ? La question reste posée.
