Twitter suspend l’envoi de tweets par SMS après le hack du compte de son fondateur

Quand Twitter est mis en ligne, il y a plus de 10 ans, la 4G n’existe pas, et les données mobiles sont hors de prix. Il était alors possible de tweeter simplement par SMS. Une fonctionnalité totalement anachronique aujourd’hui (mais encore utile sur certains marchés où l’accès au web mobile reste compliqué), mais qui avait tout son sens à l’époque. Le problème est qu’aujourd’hui cette fonctionnalité est une faille de sécurité majeure qui permet de facilement prendre le contrôle d’un compte Twitter.

Jack Dorsey en a fait les frais la semaine dernière, quand son compte s’est mis à déverser un flot d’insultes et de tweets racistes. La technique du Sim Swapping (lire l’article complet de Pixels sur le sujet) permet de « voler » le numéro de téléphone de quelqu’un très simplement. Il suffit généralement de se faire passer pour quelqu’un, d’appeler le service client de l’opérateur mobile, et de se faire envoyer une carte SIM avec le numéro de téléphone de la personne visée.  Le pirate a alors accès à votre numéro de téléphone et peut donc envoyer des tweets par ce biais, sans même avoir accès à votre compte Twitter. Cette technique a aussi été très utilisée pour voler l’accès à de gros comptes Instagram.

Face aux manquements des opérateurs téléphoniques qui envoient trop facilement des cartes SIM sans vérifications poussées, Twitter ne peut plus garantir la sécurité de l’envoi de tweets par SMS et suspend donc le service. Cette suspension est temporaire d’après Twitter qui travaille sur une authentification à 2 facteurs pour plus de sécurité.