Vidéo: Le CLASH des applications (Novembre 2024)
Si vous êtes l'un des 250 000 utilisateurs de Twitter ayant reçu l'e-mail de réinitialisation du mot de passe vendredi, nous espérons que vous avez déjà changé votre mot de passe. Si vous utilisez des applications tierces pour publier sur Twitter, il est possible que ces applications utilisent toujours vos anciennes informations d'identification. Désinstallez et réinstallez les applications pour être du bon côté.
Comme nous l’avions signalé sur SecurityWatch ce week-end, des attaquants ont volé des noms d’utilisateur, des adresses électroniques, des jetons de session et des mots de passe salés et hachés. Les jetons de session sont des types spéciaux de cookies cryptographiques informant le site de micro-blogging que l'utilisateur est déjà connecté. Tant que le jeton de session est toujours valide (ni expiré, ni révoqué ni supprimé), les utilisateurs peuvent revenir à Twitter sans se connecter. à chaque fois.
La révocation de ces jetons, comme Twitter l'a dit, garantit que les attaquants qui ont réussi à les intercepter ne peuvent pas accéder à votre compte. Compte tenu de la quantité de logiciels malveillants voleurs de données collectant des cookies sur des ordinateurs infectés, la réinitialisation du jeton est peu pratique pour les utilisateurs (pour se reconnecter) mais efficace pour empêcher les attaquants d'entrer.
Les applications peuvent se connecter
Cependant, il a été signalé que certains des jetons utilisés par des applications tierces n'étaient pas affectés. La création d'un nouveau mot de passe après avoir reçu la notification de réinitialisation n'a pas empêché les applications mobiles ou les clients de bureau tels que TweetDeck de Twitter de soumettre de nouvelles publications, a rapporté The Register. Notre propre Max Eddy a déclaré qu'il avait dû changer les mots de passe de ses comptes Twitter au cours du week-end, mais aucune des applications tierces qu'il avait utilisées ne l'avait invité à mettre à jour le mot de passe avec le plus récent.
Les applications utilisant l'API Twitter s'appuient généralement sur OAuth, un standard ouvert pour l'authentification sur plusieurs sites. Les jetons de session Twitter révoqués ne semblent pas avoir d'incidence sur les applications qui utilisaient OAuth pour gérer l'authentification. Une personne a déclaré à The Register que les applications ne demandaient pas le nouveau mot de passe tant qu'il n'avait pas été supprimé et réinstallé.
"Lorsqu'un mot de passe est modifié sur un périphérique et que deux autres périphériques sont connectés avec l'ancien mot de passe (par exemple), le fournisseur doit mettre fin à toutes les sessions ouvertes pour le compte donné", a déclaré à The Register Sean Duca de McAfee.
Les applications utilisant OAuth reçoivent une clé de session cryptographique lors de la première authentification auprès du service Web et les envoient lors de visites ultérieures, a déclaré Cesar Cerrudo, directeur de la technologie d'IOActive Labs, à SecurityWatch. Cela permet aux applications tierces de fonctionner avec le service en question sans envoyer à plusieurs reprises les informations de mot de passe.
Cerrudo n'avait pas encore examiné cette situation et n'a donc pas deviné ce qui se passait. SecurityWatch a contacté Twitter pour expliquer comment il traite les sessions OAuth et attend sa réponse.
Selon les règles, Twitter «n'expulse pas actuellement les jetons d'accès», selon les instructions de l'entreprise aux développeurs concernant l'utilisation de OAuth. "Votre jeton d'accès sera invalide si un utilisateur refuse explicitement votre application de leurs paramètres ou si un administrateur de Twitter suspend votre application", précise le guide.
Ce serait le deuxième incident lié à OAuth avec Twitter au cours des dernières semaines. Cerrudo a récemment appelé Twitter pour ne pas avertir les utilisateurs d'un problème d'autorisations qu'il avait résolu en silence.
Pour en savoir plus sur Fahmida, suivez-la sur Twitter @zdFYRashid.
