Plusieurs centaines de comptes Twitter envoient un même message, écrit en turc. Les pirates semblent passer par une application liée aux profils des victimes. Il est possible d'en révoquer l'accès en un clic dans les paramètres dédiés.
Ce matin, des centaines de comptes Twitter envoient de manière indiscriminée un tweet comportant le hashtag « #Nazialmanya », liant une vidéo YouTube présentant Recep Tayyip Erdogan, le président turc. Ils ont été identifiés, notamment par Le Figaro, comme des messages pro-Erdogan critiquant l'Allemagne et les Pays-Bas. Parmi les comptes affectés, figurent ceux d'institutions comme Bercy, le ministère de l'Économie, Alain Juppé ou encore le Téléthon.
Des applications tierces à contrôler, TheCounter enquête de son côté
Au niveau mondial, on peut citer Amnesty International ou encore Forbes. Cela en plus de comptes moins en vue, comme ceux de certains journalistes. Le vecteur du piratage ne semble pas encore connu. Rapidement, les soupçons se sont tournés vers une application tierce, nommée TheCounter ou Twitter Counter, qui a l'autorisation d'écrire sur les comptes des utilisateurs touchés et publie ces tweets.
Sur son compte officiel, ses responsables affirment avoir ouvert une enquête sur un piratage, sans plus de détails. Ils ajoutent que, « en supposant que cet abus passe effectivement notre système », les possibilités d'envoyer des tweets et de suivre de nouvelles personnes via l'application ont été bloquées. Rappelons que le service avait déjà connu des soucis de sécurité en novembre dernier.
Il est donc fortement recommandé de vérifier les applications que vous avez autorisées sur votre profil Twitter, via la page dédiée. Il suffit ensuite de « Révoquer l'accès » des applications dont vous ne connaissez pas le but.
L'occasion de vérifier la sécurité de son compte
Si l'accès direct au compte ne semble pas en cause, cette vague de piratage est l'occasion de rappeler certaines bonnes pratiques, comme l'usage de l'authentification à deux facteurs.
Cela permet de recevoir un code, par SMS ou via un générateur dédié (comme Google Authenticator), au moment de se connecter au compte. Un second élément qui peut s'avérer utile. L'activation est accessible dans la partie « Sécurité » du compte. C'est également l'occasion de consulter notre guide pour créer un mot de passe fort, si vous doutez du vôtre.
Commentaires (44)
#1
Vu le peu d’utilisation de mon compte, risque pas grand chose.
" />
" />
N’empêche, il à toujours été fort pour avoir plus de pouvoir en se faisant passer pour une victime, juste pour des fins politiques.
Et autant de casserole judiciaire que certains élus français.
Plus cela va, plus j’ai là mauvaise impression qu’un élu est forcément pourris.
#2
“L’application TheCounter ne semble pas encore avoir réagi”
" />
skynet
#3
L’application TheCounter ne semble pas encore avoir réagi à ces accusations.
Ca tombe bien, vu qu’on n’est pas sûr que ça vienne d’elle…
#4
Avec Erdogan, Poutine et Trump, il manque encore un petit extrémiste en Europe et le compte sera bon… (ou pas)
#5
n’utilisant pas l’appli, je pense que je ne crains rien mais par précaution, j’ai viré des droits a de vieilles applis. :)
#6
Ça devrait être très facile pour Twitter de faire le nettoyage vu que c’est le même message à chaque fois.
#7
Apparemment, même le compte de Mediapart est touché.
Blague à part, pas vu de victimes pour le moment.
#8
C’est vraiment des branquignoles chez Twitter niveau sécurité. Déjà quelques années en arrière, je me suis retrouvé à follow des gens bizarres (promis, ce n’était pas issu de ma volonté
" />)
#9
C’est quand même marrant la sécurité des réseaux sociaux.
#10
C’est étrange, je viens de recevoir un mail demandant de ré-initialiser mon mot de passe. Mais n’utilisant pas mon compte, je n’ai jamais utilisé ces applications.
EDIT : Je viens de vérifier, aucun message n’a été envoyé avec mon compte.
#11
#12
Comme pour les virus, c’est trop souvent les utilisateurs qui sont responsables de leur propre malheur: négligence et incompétence, PEBCAK sont des armes redoutables..
" />
Ainsi, il est facile de constater le nombre effarant de personnes qui - par exemple - utilise le service Linkis pour Twitter.
Linkis est officiellement un raccourcisseur d’adresse mais en fait c’est un malware qui altère la page initiale et en ouvrent d’autres en loussecé.
Par exemple, plusieurs journalistes des Echos l’utilisent depuis des mois. Ils le savent. Leur directeur information/rédaction le savent. Leur directeur numérique le sait. Rien n’est fait
Pourtant ce “service” insidieux est largement reconnu:http://www.adrianjock.com/remove-linkis-frames-twitter/ ou http://www.alexandregagne.info/2016/12/twitter-comment-se-debarrasser-de-linkis….
Faites un essai avec, par exemple, Jean-Michel Gradt journaliste auto aux Echos/ pseudo @ogrady99
A ce niveau d’incompétence on ne peut pas dire que Twitter soit responsable.
Edit: voir le compte de Forbes, 12 millions d’abonnés, avec une photo de profil “oeuf rouge” c’est qd même rigolo.
#13
Le compte d’Envoyé spécial est aussi corrompu on dirait…
" />
.@EnvoyeSpecial Nous dénonçons le piratage du compte de l’émission ce matin avec des symboles inadmissibles pour l’équipe Et Pour France2.
Et aussi anticor…
#14
Ah twitter.. supprimé mon compte après 2 ou 3 mois, ça me manque pas du tout :)
" />
" />
Un poil HS mais j’ai eu un mail de Yahoo signalant qu’à compter d’avril ils supporteraient plus les anciennes versions d’iOS ou Android
Nous avons constaté que vous accédez à Yahoo Mail à partir d’un appareil mobile qui utilise une ancienne version du système d’exploitation. Nous procédons actuellement à la mise à jour de nos services Yahoo Mail. En conséquence, en avril, Yahoo Mail ne fonctionnera plus sur les appareils mobiles utilisant les systèmes d’exploitation iOS 9.2.1, Android 4.0.4 ou de versions antérieures.
Et je leur dis zut, le 9.0.2 me va très bien
#15
Les médias sociaux (et les services web en général) se font piller l’utilisation de leurs services par des pirates (des escrocs) ou des corsaires (des mercenaires). Les big data et la viralité des partages sont le gagne-pain des médias sociaux et ces derniers ont du mal à protéger leur trésor.
#16
Maintenant si ^^’
https://twitter.com/thecounter
#17
Idem Droup, je reçois régulièrement des messages m’indiquant une tentative de connexion sur mon compte et m’invitant à changer mon mot de passe. Je l’ai déjà changé 3 ou 4 fois… très soulant.
#18
Ah, TheCounter est une entreprise néerlandaise. Très drôle!
#19
Parce que tu n’en étais pas encore convaincu ?
" />
Tu ne lis pas assez NextINpact
La sécurité informatique 100% c’est comme dans la vraie vie … ça n’existe pas … les mesures de sécurité ne sont là que pour compliqué la vie de celui qui veut te pirater, mais celui-ci qui est prêt à y investir le temps et l’argent nécessaire, y arrivera, forcément…
#20
#21
le truc de révoquer les applications est valable pour tout ou presque, facebook, google, twitter, twitch et j’en passe et des meilleurs.
c’est un peu chiant aussi ce système d’applications tiers qui à besoin de l’accès à tout et n’importe quoi. j’ai encore vu ça hier sur mon compte google, toutes les applications playstore qui ont accès pour un oui ou pour un non, ca fait presque peur.
Je comprend pas qu’il n’y ai pas un système automatique qui te dis ‘ vous n’utilisez plus l’application ‘tartanpion’ depuis x mois, voulez-vous révoquer ses droits d’accès à votre compte X. c’est de la logique de base non ?
#22
Pas de compte Twitter…. pas de problème !
Et je vous assure, cela facilite largement la déconnexion et le retour dans la vraie vie
#23
Bizarrement quand une appli me demande le droit d’envoyer des messages sur twiiter c’ets un non direct.
C’est comme les gens qui autorisent leurs applis android à accéder à leur sms et contacts… faut arréter la connerie une appli qui te demande autant de droits c’est qu’il y a un problème.
#24
#25
Allemagne nazie, hollande nazie…
Joli !! Font pas dans la dentelle !
#26
Oui là ca se comprend (même si sms c’est un non direct perso), néanmoins thecounter le but est de faire des stats, hormis le pollueur qui veut publier ces stats il y a 0 raisons d’autoriser l’envoi.
#27
Effectivement pour l’envoi. Après je ne sais pas si l’API de Twitter permet de limiter les droits pour les applications.
#28
La seule raison qui fait que je doive être inscrit, nominativement, sur les réseaux sociaux “en vogue”, c’est pour éviter l’usurpation d’identité ou en tout cas imposer le doute quant à la réelle paternité d’un message émanant d’un compte au nom (volontairement ou pas) trop semblable.
Aucune obligation d’être actif, juste un profil de base visible.
Ce n’est pas une parano personnelle, c’est dans nos contrats de travail. Dès lors qu’il existe un lien clair entre un employé et la boîte (cartes de visite nominatives, publication sur les pages officielles, …).
#29
Malheureusement, en politique il vaut mieux d’avoir des ennemis sur qui tapé que des amis.
" />
#30
En commentant sur un site tu te discrédite tout seul <3
#31
#32
#33
#34
#35
Le problème à mon sens sont les autorisations accordées aux applications tierces. Pourquoi une application devrait avoir le droit d’écrire un tweet ou sur un filesystem (pour un cloud), gérer des contacts (pour les calendriers) ?
A ouvrir les fenêtres et les portes aux 4 vents, il ne faut plus s’étonner de ce genre de détournement.
#36
#37
#38
#39
Et certaines applis pratique refusent de fonctionner si une seule des autorisations requises est refusées, ex: l’appli RATP (du coup elle a dégagé)
#40
#41
Ah mais dans ce cas, il faut la dégager effectivement. Après c’est un choix personnel, à qui tu confies tel élément de ta vie privée…
#42
Petite explication : l’accès aux contacts est demandé pour se connecter au compte Google par exemple. Donc si tu veux enregistrer un fichier dans le cloud (drive, one, Dropbox…) tu dois autoriser l’accès aux contacts, rien à voir avec les contacts à proprement parler.
Les autorisations ont été regroupées il y a quelques temps. Du coup certaines sont incompréhensibles pour les non-dev
#43
pour ma culture perso, ces autorisations du point de vue dev sont “binaires” (juste oui/non) ou plus modulables (genre le rwx des système de fichier) ?
#44
En français, on ne dit pas “réseaux sociaux”, mais réseaux “sociaux”
(pas trouvé l’ “icône” “grammairien”, mais tant pis).