Hack de comptes Twitter : un changement de mot de passe pas si sécurisé

Le développeur Brent Simmons publie une fort intéressante tribune consacrée à la sécurité des services utilisant OAuth, le protocole d'authentification utilisé, notamment, par Twitter, Facebook, Gmail ou windows Live.

Celui-ci permet à des applications d'utiliser, après autorisation, les données d'un compte associé à un service. En clair, c'est par ce biais que votre client bureau Twitter, ou votre client iPhone Twitter peuvent accéder au service en ligne Twitter.

Twitter, justement, qui était victime, il y a un peu plus de 2 semaines, d'un hack de 250 000 comptes, dont celui de Brent Simmons. Comme tous les clients concernés, il a reçu un courrier du service l'informant de la suspicion de hack concernant son compte.

Twitter pense que votre compte a été compromis par un site ou un service n'appartenant pas à Twitter. Nous avons remis à zéro votre mot de passe pour éviter que des tiers n'accèdent à votre compte, explique le courrier de Twitter.

Brent change donc son mot de passe, conformément à la requête, mais s'étonne de ne pas avoir à saisir ce nouveau mot de passe depuis son client Twitter iPhone. Car, c'est à la fois la magie et la faille (?) d'OAuth : une fois l'application authentifiée lors de sa connexion initiale, elle conserve son droit d'accès même si le compte lié à été modifié. La seule possibilité d'éviter, dès lors, que la personne ayant piraté son compte puisse continuer d'accéder à celui-ci, même une fois le mot de passe modifié, est de révoquer l'accès donné au compte à certaines applications.

Pour ce faire, il faut se connecter, depuis un navigateur web, à son compte Twitter, aller dans les paramètres et révoquer, un à un, les droits d'accès confiés aux applications tierces.

N'importe quelle personne normale, en lisant le message de Twitter, aurait compris qu'en changeant de mot de passe, il empêchait les pirates d'accéder à son compte, et ce n'est pas exact, précise-t-il.

Je comprends bien, en tant que programmeur, que OAuth est dans une certaine mesure un gage de sécurité. Mais ceux qui implémentent ce protocole devraient essayer de penser comme les humaines ordinaires, ce qui dans ce cas de figure devrait conduire à révoquer automatiquement l'accès donné à toutes les applications tierces jusqu'à ce que l'utilisateur s'authentifie à nouveau (avec son nouveau mot de passe).

Source (via)