10 000 utilisateurs du service de microblogging Twitter ont été avertis que leurs adresses e-mail et numéros de téléphone ont été dévoilés en raison d'un vulnérabilité dans la fonction de récupération du mot de passe. L'incident est survenu la semaine dernière pendant 24 heures, mais la compagnie n’a alerté les utilisateurs concernés que ce mercredi.
« Tout utilisateur qui aura exploité le bug afin d'accéder aux informations d'un autre compte sera suspendu de façon permanente, et, le cas échéant, nous allons également engager des poursuites en application de la loi, afin qu’une enquête approfondie soit lancée », a indiqué dans un post de blog la société Twitter.
Des pirates à l'affût de toute information personnelle
Il est fréquent que les fonctionnalités reposant sur des services web soient disséquées par des hackers afin de récupérer des informations permettant d’identifier des utilisateurs, tels que les adresses email, les cartes bancaires et les numéros de téléphone. En 2012, Facebook a imposé une limite sur les recherches de numéros de téléphone sur son site mobile, car une faille de sécurité permettait à des cyber-pirates d'effectuer des recherches afin de les faire correspondre des numéros à des utilisateurs existants.
Twitter offre une fonctionnalité appelée « vérification de connexion » qui oblige les utilisateurs à fournir les codes d'un emploi du temps envoyés à leurs téléphones en plus de leurs mots de passe quand ils s’authentifient. La firme offre, en outre, la possibilité de demander des informations supplémentaires, telles que l'adresse email ou le numéro de téléphone de l'utilisateur, lors de la réinitialisation d’un mot de passe. Cette option peut être retrouvée sur la page sécurité et paramètres de confidentialité du compte. Sans elle, initier une réinitialisation du mot de passe nécessite le seul nom d'utilisateur du compte.
Précautions élémentaires
Pour renforcer la protection de leur avatar virtuel, les utilisateurs de Twitter - comme sur tous les services web - doivent utiliser un mot de passe de 10 caractères ou plus, effectuer un examen périodique de leur historique de connexions et vérifier régulièrement les applications accédant à leur compte.