WEBlog de Félix Aimé

Une news récente a permise de mettre la main sur une technique loin d’être bête permettant, par le biais d’un protocole développé à l’origine pour croiser des services de manière sécurisée (sans stocker les mots de passes des utilisateurs de l’API) de backdoorer un service utilisant ce dernier. Et évidemment, ce service, est Twitter.

Twitter et la sécurité ce n’est pas une histoire d’amour tant pour ses utilisateurs, que la société elle-même. Bref, il s’agit d’un certain Terence Eden, qui, après avoir changé son mot de passe qui était compromis s’est aperçu que le protocole OAuth permettait, même après le changement d’un mot de passe, d’avoir la main sur le compte Twitter de la victime. Et oui, la révocation du token d’authentification de OAuth n’est pas automatique suite au changement de son mot de passe sur le service.

Bref, une seule chose à faire, supprimer dans la configuration du profil d’éventuelles applications mises en place par l’attaquant ou tout simplement, pour les plus paranos d’entre nous, ne pas utiliser Twitter même si cela est « l’outil idéal » de veille en sécurité.

Tiens, cela me rappelle que l’on peut aussi facilement backdoorer des comptes Gmail, mais ceci est une autre histoire ;) Keep Update ! =)

[Source]

Pour aller plus loin

• Keynote : Twitter : La révolution de l’information a-t-elle un prix ?
• Twitter et un point sur la sécurité du « tout-ouvert »