Autoblog de paulds.fr

Ce site n'est pas le site officiel de paulds.fr.
C'est un blog automatisé qui réplique les articles de paulds.fr

Compte Twitter piraté, comment réagir

Thu, 08 Sep 2011 10:10:17 +0000 - (source)

Les cordonniers sont toujours les plus mal chaussés. Je ne suis pas cordonnier mais expert en sécurité et c’est donc la deuxième fois que je me fais pirater cette année (et de ma vie BTW). Si la première avait été bon enfant et s’était faite de façon très sport, cette fois-ci on a affaire à un vilain méchant on dirait.

C’est mon compte Twitter qui a été la cible, cette nuit vers 1h30, d’une intrusion. Le méchant hacker (dont je ne connais pas l’identité, mais on y reviendra, d’ici là appelons le méchant hacker) a vraisemblablement mis la main sur mon mot de passe et a utilisé l’interface Web de Twitter pour publier le message suivant :

Bon à cette heure-ci j’étais en train de boire une bière (ou plus) avec des amis mais ne blâmons pas de suite notre méchant hacker : il m’est arrivé plusieurs fois de passer des nuits à hacker, pour le taff ou pour le plaisir (mais il ne faut pas mélanger). Ceci dit ici le message est clair, je dois me taire parce que je ne suis pas irréprochable.

Euh oui mais non… En effet, ce mot de passe est relativement faible car il s’agit d’un de mes mots de passe root (non pas pour mes machines, rassurez vous) : un mot de passe que je dérive entre plusieurs sites en fonction de ceux-ci (cf cet article). Le fait est que là, pour une raison qui m’échappe (Twitter n’interdit pas les caractères spéciaux) je l’avais laissé tel quel. Connerie de ma part, j’en conviens mais au moins je sais pourquoi.

J’ai cherché un peu à comprendre comment le méchant hacker s’en était débrouillé pour ouvrir cette porte et puis j’ai préféré fermer les autres. Il m’a donc fallu, toute la matinée durant, chercher tous les services sur lesquels j’utilise ce mot de passe root et les changer (merci c’était fun) ce que je fais de toutes façons de temps à autres.

Mais plus important, et vu que l’on parle de Twitter, il faut aussi révoquer toutes les autorisations des applications, laisser mourir le cache et re-connecter celles qui sont réellement utiles. De telle sorte que les 0Auth qui gèrent la connexion entre Twitter et les applications prennent bien en compte le changement de mot de passe et ne conservent pas un token périmé.

Si cela vous arrive et que vous utilisez ce mot de passe ailleurs, changez le en priorité. Des services les plus importants que j’ai vérifié ce matin je ne l’utilisais pas ailleurs et donc la personne n’a eu accès qu’à mes DM Twitter (rien de réellement confidentiel même s’il y avait des trucs perso supprimés depuis).

Finalement non je ne vais pas me taire, mais oui j’ai perdu une demi-journée pour un vilain kiddie que je suspecte grandement d’avoir bruteforcé un md5 trouvé je ne sais où… bravo donc à lui, si tu avais signé j’aurai même pu être sympa avec toi… Là j’ai demandé à Twitter qui est à l’origine du tweet en question et je te souhaite d’être passé par un minimum d’anonymisation, bisous méchant hacker :)

flattr this!


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles