On revient sur l’article : Malgré le piratage, le GodMode de Twitter est toujours disponible

Tout le monde ne le sait pas, mais Twitter possède un mode dieu – GodMode – un outil interne que des pirates ont utilisé pour tweeter à partir de comptes très connus, dont celui d’Apple, en 2020. Le problème ? Ce mode est toujours disponible à date pour tous les ingénieurs de l’entreprise, selon un nouveau rapport publié par le Washington Post.

Twitter avait précédemment déclaré que la faille de sécurité avait été corrigée, mais un lanceur d’alerte a déclaré qu’à part le changement de nom de l’outil de GodMode à PrivilegedMode, l’entreprise n’avait rien fait du côté de la sécurité. N’importe quel ingénieur de Twitter peut donc obtenir de manière triviale l’accès à n’importe quel compte.

L’histoire du piratage

Rappelez-vous en 2020, le Twitter officiel d’Apple, @Apple, a été l’un des nombreux comptes piratés. On trouvait également Jeff Bezos, Bill Gates, Uber, MrBeast, ou encore… Elon Musk. Depuis, le patron de Tesla a racheté Twitter, mais rien n’a changé à ce niveau-là, malgré l’enquête du FBI.

Le piratage avait fait grand bruit, d’autant plus qu’il a été possible malgré le fait que de nombreux comptes utilisaient une authentification à deux facteurs. Heureusement, le but des pirates n’étaient que de lancer une arnaque aux bitcoins, mais tout ceci aurait pu être plus grave.

Le coupable n’était autre que le GodMode. Les personnes ayant accès à ce dernier peuvent publier des tweets à partir de n’importe quel compte, sans avoir besoin d’une authentification spécifique au compte.

Le GodMode est vivant

Le réseau social avait déclaré qu’il avait enquêté et pris des mesures pour résoudre le problème. Toutefois, selon un lanceur d’alerte, le seul changement a consisté à retirer l’accès par défaut à l’outil. Tout ingénieur qui souhaitait y avoir accès n’avait qu’à changer le drapeau d’une ligne de code de « faux » à « vrai ». Pire, il est possible de le faire depuis n’importe où, en passant par le protocole SSH en ligne de commande.

Le Washington Post rapporte qu’une personne a signalé ce fait au Congrès en octobre, et qu’un membre du personnel du Congrès en a maintenant fait part au journal.

Un nouveau dénonciateur de Twitter est apparu, soutenant le témoignage surprenant de l’année dernière sur l’état lamentable des protections de la vie privée de l’entreprise et affirmant que l’entreprise continue de violer ses obligations légales sous le nouveau propriétaire Elon Musk.

L’ancien employé a déclaré aux membres du Congrès et au personnel de la Federal Trade Commission que n’importe quel ingénieur de Twitter peut activer un programme interne jusqu’à récemment appelé « GodMode » et tweeter à partir de n’importe quel compte aujourd’hui, trois mois après le rachat par Musk […]

Le nouveau lanceur d’alerte a déclaré que suite à des objections internes concernant le programme, les ingénieurs ont changé son nom en « mode privilégié. » Le lanceur d’alerte a déclaré que le but du programme était de permettre au personnel de Twitter de tweeter au nom des annonceurs incapables de le faire eux-mêmes […]

La nouvelle plainte du lanceur d’alerte indique que le code GodMode reste sur l’ordinateur portable de tout ingénieur qui le souhaite. Il leur suffirait de changer une ligne du code de FALSE en VRAI et de l’exécuter à partir d’une machine de production qu’ils pourraient atteindre par le biais d’un protocole de communication facilement accessible connu sous le nom de SSH.

Non seulement n’importe quel ingénieur peut effectuer ce changement lui-même, mais que l’équipe sécurité de Twitter n’a aucun moyen de savoir qui l’a fait. Voilà qui vient confirmer les dires de Peiter Zatko, ancien responsable de la sécurité de Twitter, qui expliquait l’an dernier que l’entreprise présentait des « lacunes extrêmes et flagrantes » dans son système de sécurité.

Télécharger l’app gratuite Twitter