Ibrahim Balic, chercheur en cybersécurité, a fait état d’une faille de sécurité sur la version Android de Twitter. Il a pu faire correspondre 17 millions de numéros de téléphone avec les comptes Twitter de leurs propriétaires.

Un énième bug Android

En réalité, le chercheur a généré plus de deux milliards de numéros de téléphone qu’il a tenté de faire correspondre avec des comptes Twitter. 17 millions d’entre eux ont “matché”. Ibrahim Balic a d’ailleurs fourni un échantillon de ses recherches à Techcrunch. L’homme n’a toujours pas averti Twitter de cette faille mais a partagé dans un groupe WhatsApp plusieurs numéros de téléphone, d’utilisateurs de Twitter très connus, dont des politiciens et des hauts fonctionnaires. Dans cette conversation se trouvent les personnes directement concernées.

Plus tôt cette semaine, Twitter pour Android subissait un autre bug. En effet, le réseau social écrivait qu’un bug aurait pu permettre à une personne malveillante de voir des informations non publiques sur le compte et même de prendre le contrôle du compte, pour tweeter directement. Un porte-parole de Twitter déclarait que : “nous avons suspendu l’activité des comptes piratés pour protéger les informations personnelles de nos utilisateurs. La protection de la vie privée et de la sécurité des personnes qui utilisent Twitter est notre priorité et nous restons concentrés sur la résolution de ce bug”. Difficile de savoir si les deux failles sont liées.

Les utilisateurs Android commencent à être habitués à ce genre de problème sur Twitter. En janvier de cette année, un autre bug révélait certains de vos tweets privés. À l’époque, le réseau social déclarait que “nous avons découvert un problème sur Twitter pour Android : le paramètre « protéger mes tweets » était désactivé si certaines modifications étaient apportées au compte. Ce problème vous a peut‑être concerné si vous aviez protégé vos tweets dans vos paramètres, ou si vous avez associé une nouvelle adresse e-mail à votre compte entre le 3 novembre 2014 et le 14 janvier 2019”.

Les utilisateurs iOS ont aussi leurs bugs

Sur iOS, les utilisateurs ne sont pas non plus épargnés : en mai, Twitter a admis l’existence d’un bug qui stockait et partageait les données de géolocalisation des utilisateurs iOS à l’un de ses “partenaires de confiance”. À l’époque, dans ses explications Twitter expliquait que les utilisateurs titulaires de plusieurs comptes accessibles depuis un même appareil pouvaient être victimes d’un bug qui partageait leurs données précises de géolocalisation. Cela était vrai sur l’ensemble de leurs comptes même s’ils n’avaient activé la géolocalisation que sur un seul d’entre eux