La faille informatique chez Twitter n'est "pas un bug, mais une erreur, presque une faute", juge un expert en cyber-sécurité

L'annonce a créé un petit vent de panique sur Twitter : l'entreprise a demandé, jeudi 3 mai, à ses 330 millions d'utilisateurs de modifier le mot de passe de leur compte, en raison d'une faille découverte dans le système informatique du réseau social. Twitter parle d'une simple mesure de précaution et affirme qu'il n'y a eu aucun piratage dans sa base de données. "Ce n'est pas tellement une faille mais une erreur de leur part", considère sur franceinfo ce vendredi, Nicolas Arpagian, expert en cyber-sécurité.

franceinfo : De quelle faille parle-t-on exactement ?

Nicolas Arpagian : Les mots de passe, tels qu'ils étaient stockés, n'étaient pas remplacés par une série de lettres et de chiffres, qui permettent de les rendre illisibles à quelqu'un qui, de l'extérieur, accèderait à la base de données. Donc là, effectivement, le stockage en clair était non pas un bug, mais une erreur, presque une faute. Et là en l'occurrence Twitter prend les devants. Car l'entreprise est dans un agenda fragile. Il s'avère qu'il a publié pour la première fois des résultats positifs dans son histoire au dernier trimestre 2017, il est pour l'instant dans une situation instable, en développement, et il a besoin de dire à ses utilisateurs "Ayez confiance", et donc de faire en sorte d'anticiper. D'ailleurs il a eu la précaution de dire "Nous n'avons pas constaté d'usage frauduleux".

Il faut donc absolument écouter ces consignes et changer son mot de passe ?

Certainement. D'une part le remplacer par un mot de passe complexe c'est-à-dire qui mélange des chiffres, des lettres et des signes de ponctuation. Et d'autre part d'avoir un usage unique. Car l'une des craintes, c'est que si quelqu'un avait eu accès à cette base, il a la possibilité technique, dès lors qu'il aurait accès par exemple à un nom, d'automatiser le remplacement pour l'ensemble des autres sites sociaux, si vous avez utilisé ce mot de passe pour d'autres comptes de réseaux sociaux. Et c'est pour cela qu'on vous encourage à n'avoir qu'un usage unique de vos mots de passe.

Peut-on dire que les réseaux sociaux jouent leur survie sur cet enjeu de la sécurité ?

Oui, c'est le carburant de son économie. C'est ce qui lui permet de garantir à ses annonceurs que ces informations sont bien réelles, qu'elles sont intègres, qu'elles n'ont pas été modifiées. Mais également de rassurer celles et ceux qui lui confient ces informations. Donc on a ces deux publics qu'il lui faut rassurer. 

ll faut que les gens n'aient pas de doutes quant à l'intégrité des informations qu'ils confient aux réseaux sociaux

Nicolas Arpagian

franceinfo

La deuxième chose c'est la réglementation. Par exemple pour la zone Europe, le règlement général sur la protection des données qui prévoit des sanctions financières importantes en cas de perte ou de vol de données personnelles, et qui peuvent aller jusqu'à 4% du chiffre d'affaire mondial globalisé. Ce texte entre en vigueur le 25 mai prochain sur toute la zone européenne. Donc vous vous doutez bien qu'une entreprise a besoin d'être vigilante, quant à ses mesures de sécurité, notamment en ce qui concerne les mots de passe et les identifiants.