Auchan piraté sur Twitter : pourquoi la double authentification ne suffirait pas

Auchan piraté sur Twitter : pourquoi la double authentification ne suffirait pas

Le maillon le plus faible de la chaîne existe toujours

Avatar de l'auteur
David Legrand

Publié dans

Internet

13/06/2013 10 minutes
34

Auchan piraté sur Twitter : pourquoi la double authentification ne suffirait pas

En début d'après-midi, le compte Twitter officiel d'Auchan se faisait pirater et tenait des propos pour le moins... inhabituels. Ce n'est pas la première fois que ce genre de choses arrive, et le service de micro-blogging a même indiqué que de plus en plus de tentatives allaient être rencontrées. Et ce n'est pas la double authentification mise en place il y a peu qui va y changer quelque chose, puisqu'elle protège l'accès par Twitter, mais pas par les applications tierces. Explications.

Twitter est un service de micro-blogging qui existe depuis mars 2006. Mais ces dernières années, le site a pris de l'ampleur un peu partout dans le monde. Il est ainsi devenu un large centre d'intérêt pour les sociétés qui y assurent une présence et s'en servent comme plateforme publicitaire, et donc une cible de choix pour les pirates en tous genres. Les tentatives d'usurpation de compte se multiplient donc. 

Twitter gagne en popularité, mais attire aussi de plus en plus de problèmes

On a ainsi pu voir la diplomatie française insulter les Roumains, Fox News annoncer la mort d'Obama, Lady Gaga et Nelly Furtado offrir des produits Apple, Reuters annoncer un peu tout et n'importe quoi et dernièrement c'est Associated Press qui annonçait que la maison blanche était attaquée, faisant chuter la bourse quelques instants.

 

Mais les cibles ne sont pas forcément toujours de cette taille, et après Mc Donald's France, c'est Auchan qui a eu droit à la visite d'un petit malin qui a tweeté tout un tas de bêtises en début d'après-midi. Le compte a rapidement été nettoyé, mais cela a recommencé quelques minutes plus tard., puis nettoyé à nouveau. 

 

Auchan Twitter Piratage

Le compte Auchan France en début d'après-midi

L'évolution de Twitter, un problème général, qui touche aussi la sécurité 

Derrière toutes ces attaques se cache une problématique de fond : l'évolution de Twitter de manière globale, et celle de sa sécurité en particulier. En effet, si le service travaille d'arrache-pied pour améliorer les profils, ses applications mobiles, rajouter des publicités, un hashtag dédié au cours de bourse, changer son design, fermer la version 1.0 de son API, rajouter un éditeur de photos et pousser Vine... dans le fond, il n'y a pas grand-chose de réellement nouveau. La gestion des listes par exemple est toujours autant à l'abandon, l'affichage des conversations semble en cours de refonte, mais sans que rien ne soit annoncé, etc.

 

Il y a bien eu quelques tentatives comme l'arrivée de Twitter Music par exemple, mais le service n'a pas la même capacité à se repenser et à se remettre en question comme peuvent l'avoir Facebook et Google+ par exemple. Que l'on apprécie ou pas les choix qui sont faits par ces derniers, ils tentent des choses là où Twitter donne une certaine impression d'inertie. Il en est d'ailleurs de même pour la gestion de sa sécurité.

 

Google+ Mai 2013

Google+ a annoncé une énième refonte complète en mai, et se remet constamment en question 

 

Jusqu'à il y a encore quelques semaines, seuls un login et un mot de passe protégeaient l'ensemble des comptes : le vôtre, le nôtre, celui d'Auchan ou même de Barack Obama. Une hérésie pensez-vous ? Vous avez raison. Un changement a néanmoins eu lieu en avril suite au piratage du compte d'AP : l'authentification en deux étapes. Celui-ci suffirait à résoudre tous les problèmes ? Pas du tout, et encore moins dans le cas de Twitter.

La double authentification est utile, lorsqu'elle est bien implémentée

Pour faire simple, le but d'une authentification en deux étapes est de rajouter un élément aléatoire à la procédure de connexion, vu le couple login / mot de passe est bien souvent le même de site en site pour un même utilisateur. Vous devez donc entrer en complément un code qui ne peut être connu que de vous seul. La manière de générer ce dernier varie d'un service à l'autre. Certains utilisent un composant matériel (Paypal, Blizzard...), une application mobile (Google, Facebook, Blizzard, Dropbox...), un simple envoi par mail (Steam) ou par SMS. C'est cette dernière méthode qui est utilisée par Twitter, et elle est à la source d'un des problèmes du service qui se cumule à de nombreux autres.

 

 

Tout d'abord, il faut savoir que cette double authentification n'est pas disponible pour tout le monde. En effet, Twitter manque d'accord avec les opérateurs locaux, et c'est par exemple le cas en France. Si vous pouvez bien activer l'option, il est impossible de rattacher un smartphone à votre compte. Il est donc de toute façon impossible de se protéger de la sorte.

 

Ensuite, un compte Twitter ne peut être administré officiellement que par une personne, même lorsqu'il s'agit d'un compte de marque. Contrairement aux pages Facebook et Google+ par exemple, dont la gestion fonctionne sur le principe d'une liste d'utilisateurs avec des droits plus ou moins importants, c'est donc le compte de la société qui devra être protégé, et son mot de passe partagé entre les différentes personnes pouvant y avoir accès. En cas de changement dans l'équipe, il faut donc aussi renouveller le mot de passe et le leur transmettre. 

 

L'authentification en deux étapes est d'ailleurs là un souci supplémentaire. Un compte dispose d'un seul téléphone associé. Si un premier employé le garde avec lui, comment un second fait-il pour se connecter avec le compte de l'entreprise ? Il doit demander à chaque fois ce fameux code... pas vraiment très pratique.

 

Pendant un temps, Twitter semblait faire des essais sur la gestion partagée d'un compte, afin de permettre à plusieurs utilisateurs de disposer de droit de publication, avec une révocation d'accès. Cela n'a, semble-t-il, jamais vu le jour, tout du moins de manière généralisée.

Les applications tierces : le maillon faible de la chaîne

Mais le plus gros problème est de toute façon ailleurs : la gestion des applications tierces. Pour pallier le manque de la gestion unifiée des comptes, de nombreux outils ont vu le jour. C'était par exemple le cas de TweetDeck qui permettait aussi la gestion des comptes et pages Facebook (ce qui n'est plus le cas), mais aussi de Hootsuite par exemple, qui est une solution pensée pour les « Community managers » et autre personne gérant de nombreux comptes sur de multiples réseaux.

 

Ces Applications n'utilisent pas la procédure de connexion standard pour accéder à votre compte Twitter, par souci de sécurité, mais le protocole OAuth, tout comme des tas de clients tiers par exemple : Echofon, Tweetbot, Plume... Pour faire simple : lors de l'ajout du compte à l'application, vous devez rentrer votre login et votre mot de passe pour valider l'accès. Ensuite, ce ne sera plus nécessaire, l'application pourra gérer votre compte jusqu'à ce que vous révoquiez l'autorisation dans les paramètres de Twitter.

 

Tweetdeck Auth

La connexion à TweetDeck n'est assurée que par un simple mot de passe

 

Lors de l'ajout de la procédure de login en deux étapes, Twitter a modifié un peu cette façon de faire. Pour rajouter une application, il faut lui générer un mot de passe valable seulement une heure. Mais cela ne change rien ensuite : si l'application est autorisée, chaque personne y ayant accès peut publier sur votre compte.

 

Dans le monde de la sécurité, c'est toujours le maillon le plus faible de la chaîne qui doit être attaqué. Pour accéder à un compte, il ne sert donc à rien de tenter de le faire via le site de Twitter qui est protégé par une authentification en deux étapes, il suffit de tenter de le faire via une application tierce où l'accès est bien moins contrôlé. TweetDeck et les autres applications du genre ne sont ainsi protégées que par un simple couple login / mot de passe, et l'expiration de la session courante est assez rare.

Faut-il protéger vos données monétisées, ou votre vie numérique ?

La problématique ne se limite d'ailleurs pas à Twitter, et devient encore plus importante sur les mobiles : protégez-vous l'accès à ce dernier via un mot de passe ? Que se passe-t-il si on vous le vole ? Si vous avez accès à un compte sensible, cela peut vite poser un problème assez grave puisque le mot de passe de connexion n'est pas demandé de manière récurrente.

 

Certains comme Facebook proposent de révoquer une session sur demande, via votre panneau de gestion de la sécurité du compte, et vous permettent de récupérer un accès via la participation de plusieurs amis en cas de problème par exemple. Mais ils sont bien seuls sur la mise en place de ces procédures.

 

Facebook sessions

 

Dans tous les cas, on voit bien que l'omniprésence de l'identité numérique devient un problème majeur en terme de sécurité, et il est forcément complexe de trouver un juste milieu entre simplicité et protection de vos données. Mais à l'heure où il est encore possible de perdre toute sa vie en ligne en assez peu de temps, où un état peu s'arroger le droit de vous espionner comme bon lui semble, et où la majorité des échanges passe par les mails qui ne sont rien de plus que des cartes postales virtuelles sans identification obligatoire des auteurs, qui ne sont pas toujours très bien protégés, il semblerait important de repenser de manière assez large la sécurité des utilisateurs et des citoyens.

 

Une prise de conscience qui commence à faire son chemin, mais qui ne va pour le moment jamais assez loin. En effet, les sociétés cherchent-elles plus à assurer votre sécurité ou celle des données que vous mettez à leur disposition, et qu'elles monétisent ? Après tout, il s'agit surtout de leur fonds de commerce. Une question qui se pose d'autant plus lorsque l'on regarde les rares initiatives qui émergent, comme lorsque l'État décide d'agir sur ce terrain, notamment en France.

Votre sécurité en ligne : veut-on réellement s'en donner les moyens ?

Lorsque c'est le cas, est-ce pour éviter le phising en imposant une signature des mails lorsque ses services, des banques ou des sociétés comme EDF vous contactent ? Est-ce pour vous expliquer comment chiffrer vos données en ligne et vos communications, comment ne pas se faire pirater sa connexion internet ou comment ne pas être constamment tracé ? Non, c'est pour relancer des initiatives comme IDéNum, qui semble pour le moment vouloir se contenter de faciliter les échanges commerciaux et le paiement en ligne, alors que le problème est bien plus large.

 

Crypto Stick

La Crypto Stick

 

Espérons qu'au final il sera assez bien pensé et assez ouvert pour proposer une sécurisation du citoyen et de son identité de manière généralisée, tout en assurant une indépendance des services de l'État, comme certains en rêvent avec le projet CryptoStick. Mais peut-être est-ce là le souci : y'a-t-il une réelle volonté générale pour inciter chacun à mieux assurer sa sécurité de manière générale ? La question reste posée.

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Twitter gagne en popularité, mais attire aussi de plus en plus de problèmes

Commentaires (34)


Ils auraient dû laisser les tweets, ils étaient assez comiques.


Pourquoi n’ont-ils pas mis en place une solution OTP ? Pas besoin d’accord avec des fournisseurs locaux dans ces cas là.


Bel article <img data-src=" />


J’ai ris en voyant certains tweets. Je n’ai jamais vu autant de “FD*” sur un compte Twitter “officiel”… <img data-src=" />


Juste le fait de pouvoir ce connecter avec son nom d’utilisateur visible par tous, je trouve ça totalement pourrit. Ou alors, devrait y avoir Nom d’utilisateur, pseudo sur le site et mot de passe. Le nom d’utilisateur, personne ne le connait sauf celui qui la crée puis voilà… Un peu comme sur LoL en fait.








Manu114 a écrit :



Juste le fait de pouvoir ce connecter avec son nom d’utilisateur visible par tous, je trouve ça totalement pourrit. Ou alors, devrait y avoir Nom d’utilisateur, pseudo sur le site et mot de passe. Le nom d’utilisateur, personne ne le connait sauf celui qui la crée puis voilà… Un peu comme sur LoL en fait.







LoL … Arg ! La référence ! <img data-src=" />



Mais je plussoie. <img data-src=" />









MrCal3x a écrit :



LoL … Arg ! La référence ! <img data-src=" />



Mais je plussoie. <img data-src=" />







Il y a eu des problèmes avec LoL ? je débarque juste sur ce jeu :p



Qui veut pirater le twitter de PCI pour annoncer le mariage de M. Rees et de Mme Marais?<img data-src=" />








Manu114 a écrit :



Il y a eu des problèmes avec LoL ? je débarque juste sur ce jeu :p





Naaah, juste que ça m’a fais marrer. (ou alors j’en sais rien, je n’y joue pas <img data-src=" /> )









FunnyD a écrit :



Qui veut pirater le twitter de PCI pour annoncer le mariage de M. Rees et de Mme Marais?<img data-src=" />





<img data-src=" />



Pour ceux qui l’ignore, Gmail permet aussi de voir et supprimer les sessions actives de son compte en cliquant sur “Détails” tout en bas à droite de sa page. <img data-src=" />


Bravo, excellent article, c’est pour ce genre de news approfondie que je suis heureux d’être abonné, et de pourvoir un petit peu à la vie de PCI :-) )

<img data-src=" />



Continuez comme ça ! <img data-src=" />








FunnyD a écrit :



Qui veut pirater le twitter de PCI pour annoncer le mariage de M. Rees et de Mme Marais?<img data-src=" />







<img data-src=" /> <img data-src=" />





Faut dire que je m’en Ca semble facile pour les pirates de s’attaquer a des comptes twitter… le mien a été attaqué l an passé, j’ai du changer le mot de passe, en mettre un très long…

J’ai aussi désactivé l’autorisation d’une appli tierce qui y accédait…





J’avais pourtant l’impression que c’était suffisamment sécurisé…

Vu que ca n’est pas un compte twitter sensible , le ou les pirates n’ont pas fait usage longtemps…. 2 tweet et fini…

Je m’en sert quasi jamais en fait…


Le 13/06/2013 à 20h 20

J’ai sécurisé mon compte à fond, je l’ai supprimé


[HS] Comment peut-on désactiver les overlays sur les liens svp, c’est super lourd ! Merci <img data-src=" /> [/HS]


Comment ?!



Le hackeur a trouvé le mot de passe ??? !!



Il était pourtant pas si simple





Auchan123456





<img data-src=" />


Très bon article ainsi que l’article de wired en lien, ça fait assez peur. Je dois vraiment faire ces backup que “je ferai demain”…








MasterDav a écrit :



[HS] Comment peut-on désactiver les overlays sur les liens svp, c’est super lourd ! Merci <img data-src=" /> [/HS]





Dans les paramètres d’affichage de ton compte :)



C’est un coup des Américains <img data-src=" /> via le programme PRISM car Auchan ne vend pas de bœuf aux hormones et de poulet au chlore <img data-src=" />


Merci de nous prévenir des failles de Twitter. Déjà que je n’avais aucune raison d’avoir un compte là-dessus, ça m’en fera une de plus pour ne pas y aller si on me le demande !



Reste à voir comment ça marche ailleurs, on a l’exemple de Google mais quid de Facebook et équivalents ?








CryoGen a écrit :



Pourquoi n’ont-ils pas mis en place une solution OTP ? Pas besoin d’accord avec des fournisseurs locaux dans ces cas là.







Bein en envoyant un code unique par SMS ils font déjà de l’OTP puisque le code n’est valable qu’une fois. C’est la définition d’OTP.









Commentaire_supprime a écrit :



Merci de nous prévenir des failles de Twitter. Déjà que je n’avais aucune raison d’avoir un compte là-dessus, ça m’en fera une de plus pour ne pas y aller si on me le demande !



Reste à voir comment ça marche ailleurs, on a l’exemple de Google mais quid de Facebook et équivalents ?





Heureusement que tu n’as pas créé un compte Twitter.

Parce que de toute façon, on ne t’aurait pas lu <img data-src=" />



Ouai m’enfin au final, application tierces ou pas, récupérer un mot de passe c’est pas la mer a boire (malheureusement)

ptite annecdote pour illustrer … lundi je cherchais désespérément mon mot de passe FDJ.fr (que je n’ai pas utilisé depuis presque un an) et impossible de le retrouver… Je bloque mon compte deux fois de suite (les comptes se débloquent automatiquement quelques heures plus tard)



Je fini par envoyer un mail avec deux trois infos sur moi : nom, prénom, numéro de téléphone, adresse, le tout enrobé d’un pti niannian comme quoi je retrouve pas mon mot de passe et j’aimerais savoir comment faire pour le récupérer du coup.



Ba ils m’ont envoyé un nouveau mot de passe….

C’est cool pour moi mais bon c’est pas comme si le site était crédité de x€ et relié a ma CB quoi ….




Une prise de conscience qui commence à faire son chemin, mais qui ne va pour le moment jamais assez loin. En effet, les sociétés cherchent-elles plus à assurer votre sécurité ou celle des données que vous mettez à leur disposition, et qu’elles monétisent ? Après tout, il s’agit surtout de leur fonds de commerce. (…)

Votre sécurité en ligne : veut-on réellement s’en donner les moyens ?

Lorsque c’est le cas, est-ce pour éviter le phising en imposant une signature des mails lorsque ses services, des banques ou des sociétés comme EDF vous contactent ? Est-ce pour vous expliquer comment chiffrer vos données en ligne et vos communications, comment ne pas se faire pirater sa connexion internet ou comment ne pas être constamment tracé ? Non, c’est pour relancer des initiatives comme IDéNum, qui semble pour le moment vouloir se contenter de faciliter les échanges commerciaux et le paiement en ligne, alors que le problème est bien plus large.

Très probablement la meilleure partie de l’article amha, enfin la plus résolument tournée vers une réflexion pragmatique des enjeux… des acteurs et des utilisateurs, qui finalement divergent beaucoup. <img data-src=" />








Toorist a écrit :







Tiens, tu peux jouer 5 chiffres pour moi vite fait stp ? <img data-src=" />









Cned a écrit :



Heureusement que tu n’as pas créé un compte Twitter.

Parce que de toute façon, on ne t’aurait pas lu <img data-src=" />







Ça tombe bien, comme je n’ai rien à dire…



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





Jusqu’à il y a encore quelques semaines, seuls un login et un mot de passe protégeaient l’ensemble des comptes : le vôtre, le nôtre, celui d’Auchan ou même de Barack Obama. Une hérésie pensez-vous ? Vous avez raison.





Je ne comprends pas cette frénésie sur la double authentification par téléphone.



Un téléphone portable, ça se perd ou se vole facilement ! Pour un compte pro comme Auchan, ils peuvent laisser le téléphone dans un bureau. Mais pour tous les particuliers…





La double authentification, ils feraient mieux de faire ça avec des reconnaissances d’images, ou un pattern à la Android.








sniperdc a écrit :



Comment ?!



Le hackeur a trouvé le mot de passe ??? !!



Il était pourtant pas si simple







<img data-src=" />





Non faut qqch de fort ! @uch@n123456 ^^









Manu114 a écrit :



Juste le fait de pouvoir ce connecter avec son nom d’utilisateur visible par tous, je trouve ça totalement pourrit. Ou alors, devrait y avoir Nom d’utilisateur, pseudo sur le site et mot de passe. Le nom d’utilisateur, personne ne le connait sauf celui qui la crée puis voilà… Un peu comme sur LoL en fait.





Hum, sauf erreur t’es pas obligé de renseigner ton vrai nom. La plupart des gens d’ailleurs ne mettent pas leur nom (cf maitre_eolas).

C’est comme sur FB… T’as ton compte offi avec le vrai nom et ta copine en amie, et l’autre compte avec tes conquêtes d’un soir :p



Bel article, bien complet. Merci David. <img data-src=" />








ben5757 a écrit :



Bein en envoyant un code unique par SMS ils font déjà de l’OTP puisque le code n’est valable qu’une fois. C’est la définition d’OTP.







Oui, j’aurai du parler d’OTP avec token généré à la volé comme avec le Google Authenticator ou RSA SecureID pour les riches etc.



Hum, existe-il un dossier sécurité sur PCINpact ou ailleurs avec, par exemple, les recommandations d’usage ?

Par exemple, en lisant l’article de Wired, j’ai lu la bonne idée d’avoir une adresse email de recovery qui n’est utilisé que pour cela. C’est bête, mais je n’y avais jamais pensé …



Merci et bon week-end !








David_L a écrit :



Dans les paramètres d’affichage de ton compte :)





Trouve pas :(

Voilà tout ce que j’ai, v coché, o pas coché:



v Désactiver les boutons sociaux (Facebook, Google +…)

Afficher 100 commentaires d’actualité par page

v Ne pas afficher les liens commerciaux Twenga

v Ne pas afficher les publicités intrusives

v Ne pas afficher les habillages publicitaires

o Ne pas afficher l’entête du site

v Ne pas afficher la version mobile

v Toujours afficher la barre sociale en tête du site

v Masquer toutes les publicités du site

v Masquer mon status d’abonné

o Afficher 15 brêves dans le pavé de droite

o Afficher des flux RSS personnalisés dans le pavé de droite

o Ne pas afficher les actualités à la une

v Toujours afficher les commentaires sous les actualités