Twitter met en garde contre une possible fuite de clés API
Twitter a informé les développeurs d’un possible incident de sécurité, qui pourrait avoir eu un impact sur leurs comptes. La cause serait des instructions incorrectes que le site web developer.twitter.com a envoyées aux navigateurs des utilisateurs. Le site developer.twitter.com est le portail où les développeurs gèrent leurs applications Twitter et les clés API qui y sont attachées, mais aussi le jeton d’accès et la clé secrète de leur compte Twitter.
Dans un courriel envoyé aux développeurs, Twitter explique que le site web developer.twitter.com demande aux navigateurs de créer et de stocker des copies des clés API, des tokens et des clés secrètes dans leur cache, une section du navigateur où les données sont enregistrées pour accélérer le processus de chargement de la page lorsque l’utilisateur accède à nouveau au même site.
Les développeurs utilisant leur propre appareil ne devraient pas être concernés, mais Twitter met en garde ceux qui auraient utilisé des ordinateurs publics ou partagés pour accéder au site. Auquel cas, leurs clés API sont très probablement maintenant stockées dans ces navigateurs.
« Si une personne sachant comment accéder au cache d’un navigateur et ce qu’il fallait chercher a utilisé le même ordinateur que vous après votre passage, pendant cette période temporaire, il est possible qu’elle ait pu accéder aux clés et jetons consultés », met en garde Twitter.
Aucune indication que des clés d’API aient fuité de cette manière
« Selon les pages que vous avez visitées et les informations que vous avez consultées, cela aurait pu inclure les clés de l’API de votre application, ainsi que le jeton d’accès utilisateur et la clé secrète de votre propre compte Twitter », ajoute la plateforme.
La société explique avoir résolu le problème en modifiant le contenu mis en cache lorsque les utilisateurs accèdent au portail développeurs de Twitter. Elle rassure également en précisant que rien n’indique que des clés d’API aient fuité de cette manière, car un attaquant doit avoir (1) connu la vulnérabilité, et (2) eu accès au navigateur d’un développeur pour extraire les clés et les jetons.
Néanmoins, Twitter a décidé d’avertir les développeurs, juste pour être sûr. Ce problème est presque identique à un autre problème révélé sur la plateforme en avril dernier, alors que certains fichiers privés envoyés par messages directs pouvaient être restés dans le cache du navigateur Firefox.
Source : ZDNet.com
