sept 07
Une application pour protéger son compte Twitter
Pour ma première application Twitter avec oAuth j’ai fait simple.
Le constat : n’importe quel service à qui vous avez donné vos codes d’accès Twitter (ce qu’on ne devrait jamais faire) où n’importe quelle application à laquelle vous avez accordé les droits en lecture et écriture via oAuth peut en quelques secondes s’accaparer votre compte Twitter !
Pourquoi ? Parceque Twitter autorise la modification de l’adresse email via l’API et qu’il est ensuite enfantin de déclencher une procédure de changement de mot de passe, même de façon totalement automatisée (aucun captcha ou autre protection anti-robot n’étant utilisés lors de cette procédure).
C’est d’ailleurs un peu comme cela que fonctionne mon application, mais avec l’objectif de vous rendre votre compte en cas de vol plutôt que pour vous le voler. Et je n’ai pas pousser l’automatisation du processus jusqu’au bout : lors d’une tentative de récupération de votre mot de passe, l’application va jusqu’à déclencher l’envoi du lien adequat par twitter et c’est à vous de faire le reste (à savoir : choisir un nouveau mot de passe).
A cause de cette possibilité de modifier l’adresse email d’un utilisateur, la sécurité du « login avec twitter » ne repose pas seulement sur les serveurs de twitter, mais dépend également de TOUS les services que vous avez autorisés en lecture / écriture via oAuth ou en filant vos codes d’accès ! Il suffit qu’un seul se fasse hacker pour pouvoir récupérer votre compte et par effet de dominos tous les comptes avec lesquels vous vous identifiez avec twitter… C’est assez embêtant je trouve.
Petits conseils si jamais vous vous faites voler votre compte Twitter et que par chance vous utilisiez mon application :
- Ne remettez pas le même mot de passe qu’avant ! (ça parait évident mais bon, il y a sûrement quelques abrutis parmi vous)
- Allez directement dans « Settings / Connections » et révoquez les autorisations de tous les services qui ont un accès en écriture (update), sauf mon appli bien sûr !
Pour info avec mon application, une adresse email ne peut etre utilisée qu’une seule fois (donc si vous avez plusieurs comptes twitter il vous faudra aussi plusieurs adresses email) et un compte twitter ne peut être protégé que par une seule adresse email (ça vaut mieux hein !).
Notez aussi que si la personne qui vous a volé votre compte s’empresse de révoquer l’autorisation de mon application (comme devrait le faire un hacker efficace), ça ne fonctionnera pas.
L’application est ici : Recover Stolen Account
Edit : Twitter a bien reçu le message via le groupe de support pour l’API et envisage de remédier à ce problème ! Bonne nouvelle donc.
7 septembre 2009 @ 15:04
Ca fout les jetons ton truc ! je vais de ce pas vérifier mes autorisations !
Ps : je savais pas que c’etait a toi ce blog
7 septembre 2009 @ 15:56
J’attends d’avoir le code source de l’application ou de savoir comment elle marche avant de donner
7 septembre 2009 @ 15:58
certaines informations. (tiens, une édition des commentaires serait bienvenue =)
8 septembre 2009 @ 4:04
Je n’ai pas envisagé de montrer le source comme je le fais de temps en temps pour deux raisons : dans le source il y a mes clefs api et autres secrets pour securiser la session ; et le fait qu’on puisse voire le source n’est en rien une garantie de fiabilité : les clefs oAuth sont stockées de toutes façons pour que l’application puisse faire son job, et je pourrais donc très bien en fait coder un autre script qui utilise les clefs api de l’application et les comptes des twittos. Ce que je ne ferais pas bien sur, mais c’est une question de confiance.
8 septembre 2009 @ 10:24
FB il est aussi doué en poésie qu’en code. J’ai pour ma part adopté la procédure pour protéger mon précieux compte Twitter. Merci!
24 septembre 2009 @ 20:50
J’ai vu l’appli via un RT de Tiger et Marie, donc j’ai pas trop hésité perso et je l’ai adoptée
Merci FB