{"id":290964,"date":"2022-08-02T04:36:28","date_gmt":"2022-08-02T06:36:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-pres-de-3-200-applications-mobiles-qui-fuient-les-cles-api-de-twitter\/"},"modified":"2022-08-02T04:36:30","modified_gmt":"2022-08-02T06:36:30","slug":"des-chercheurs-decouvrent-pres-de-3-200-applications-mobiles-qui-fuient-les-cles-api-de-twitter","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-pres-de-3-200-applications-mobiles-qui-fuient-les-cles-api-de-twitter\/","title":{"rendered":"Des chercheurs d\u00e9couvrent pr\u00e8s de 3 200 applications mobiles qui fuient les cl\u00e9s API de Twitter"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les chercheurs ont d\u00e9couvert une liste de 3 207 applications, dont certaines peuvent \u00eatre utilis\u00e9es pour obtenir un acc\u00e8s non autoris\u00e9 aux comptes Twitter.<\/p>\n<p>La prise de contr\u00f4le est rendue possible gr\u00e2ce \u00e0 une fuite d&#8217;informations l\u00e9gitimes sur la cl\u00e9 du consommateur et le secret du consommateur, respectivement, soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 bas\u00e9e \u00e0 Singapour <a rel=\"nofollow noopener\" href=\"https:\/\/cloudsek.com\/whitepapers_reports\/how-leaked-twitter-api-keys-can-be-used-to-build-a-bot-army\/\" target=\"_blank\">CloudSEK a d\u00e9clar\u00e9 dans un rapport<\/a> exclusivement partag\u00e9 avec The Hacker News.<\/p>\n<p>&#8220;Sur 3 207, 230 applications fuient les quatre identifiants d&#8217;authentification et peuvent \u00eatre utilis\u00e9es pour reprendre enti\u00e8rement leurs comptes Twitter et peuvent effectuer toutes les actions critiques\/sensibles&#8221;, ont d\u00e9clar\u00e9 les chercheurs. <\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Cela peut aller de la lecture de messages directs \u00e0 la r\u00e9alisation d&#8217;actions arbitraires telles que retweeter, aimer et supprimer des tweets, suivre n&#8217;importe quel compte, supprimer des abonn\u00e9s, acc\u00e9der aux param\u00e8tres du compte et m\u00eame modifier l&#8217;image de profil du compte.<\/p>\n<p>Acc\u00e8s \u00e0 l&#8217;API Twitter <a rel=\"nofollow noopener\" href=\"https:\/\/developer.twitter.com\/en\/docs\/twitter-api\/getting-started\/getting-access-to-the-twitter-api\" target=\"_blank\">a besoin<\/a> g\u00e9n\u00e9rer les cl\u00e9s et les jetons d&#8217;acc\u00e8s, qui agissent comme noms d&#8217;utilisateur et mots de passe pour les applications ainsi que les utilisateurs au nom desquels les demandes d&#8217;API seront effectu\u00e9es.<\/p>\n<p>Un acteur malveillant en possession de ces informations peut donc cr\u00e9er une arm\u00e9e de bots Twitter qui pourrait \u00eatre potentiellement exploit\u00e9e pour diffuser de la m\u00e9s\/d\u00e9sinformation sur la plate-forme de m\u00e9dias sociaux.<\/p>\n<p>&#8220;Lorsque plusieurs prises de contr\u00f4le de compte peuvent \u00eatre utilis\u00e9es pour chanter le m\u00eame air en tandem, cela ne fait que r\u00e9it\u00e9rer le message qui doit \u00eatre d\u00e9bours\u00e9&#8221;, ont not\u00e9 les chercheurs.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>De plus, dans un sc\u00e9nario hypoth\u00e9tique expliqu\u00e9 par CloudSEK, les cl\u00e9s API et les jetons r\u00e9colt\u00e9s \u00e0 partir des applications mobiles peuvent \u00eatre int\u00e9gr\u00e9s dans un programme pour ex\u00e9cuter des campagnes de logiciels malveillants \u00e0 grande \u00e9chelle via des comptes v\u00e9rifi\u00e9s pour cibler leurs abonn\u00e9s.<\/p>\n<p>Ajout\u00e9 \u00e0 l&#8217;inqui\u00e9tude, il convient de noter que la fuite de cl\u00e9 ne se limite pas aux seules API Twitter.  Dans le pass\u00e9, les chercheurs de CloudSEK ont d\u00e9couvert les cl\u00e9s secr\u00e8tes des comptes GitHub, AWS, HubSpot et Razorpay \u00e0 partir d&#8217;applications mobiles non prot\u00e9g\u00e9es.<\/p>\n<p>Pour att\u00e9nuer de telles attaques, il est recommand\u00e9 de revoir le code des cl\u00e9s d&#8217;API directement cod\u00e9es en dur, tout en alternant p\u00e9riodiquement les cl\u00e9s pour aider \u00e0 r\u00e9duire les risques probables encourus en cas de fuite.<\/p>\n<p>&#8220;Les variables dans un environnement sont des moyens alternatifs de se r\u00e9f\u00e9rer aux cl\u00e9s et de les d\u00e9guiser en plus de ne pas les int\u00e9grer dans le fichier source&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Les variables permettent de gagner du temps et d&#8217;augmenter la s\u00e9curit\u00e9. Des pr\u00e9cautions ad\u00e9quates doivent \u00eatre prises pour s&#8217;assurer que les fichiers contenant des variables d&#8217;environnement dans le code source ne sont pas inclus.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/researchers-discover-nearly-3200-mobile.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs ont d\u00e9couvert une liste de 3 207 applications, dont certaines peuvent \u00eatre utilis\u00e9es pour obtenir un acc\u00e8s non autoris\u00e9 aux comptes Twitter. La prise de contr\u00f4le est rendue possible gr\u00e2ce \u00e0 une fuite d&#8217;informations l\u00e9gitimes sur la cl\u00e9 du consommateur et le secret du consommateur, respectivement, soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 bas\u00e9e \u00e0 Singapour CloudSEK [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":290965,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[43650,8361,12848,6208,4168,4158,4165,4161,3073,133,5179,4157,4159,4171,4170,65,4167,4160,2463,4163,4162,1285,364,4172,4169,4491,4166,4164],"class_list":["post-290964","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-api","tag-applications","tag-chercheurs","tag-cles","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decouvrent","tag-des","tag-fuient","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-mobiles","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pres","tag-qui","tag-securite-informatique","tag-securite-internet","tag-twitter","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/290964","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=290964"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/290964\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/290965"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=290964"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=290964"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=290964"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}