Crédit image : Titima Ongkantong | Shutterstock

Le 15 mars dernier, un piratage de masse sur Twitter en Europe a affecté des centaines de comptes officiels et certifiés. On compte parmi ceux-ci Amnesty International, le Parlement européen et le magazine américain Forbes. J’ai pensé vous proposer dans cet article des moyens de sécuriser davantage votre compte Twitter afin que cette situation ne vous arrive pas.

Le piratage de nombreux comptes Twitter importants survenu le 15 mars n’est pas anodin. Ces comptes ont affiché pendant un long moment le même message de propagande rédigé en turc et accompagné d’une vidéo mettant en vedette le président turc Recep Tayyip Erdogan. L’image de profil et celle de couverture de certains comptes ont été modifiées par la représentation d’un drapeau turc.

Le piratage semble de toute évidence lié à un contexte politique où il y a en ce moment de nombreuses tensions entre la Turquie et plusieurs pays européens (article du Figaro sur le sujet).

Compte Twitter de Bercy piraté

Un piratage réalisé grâce à une application Twitter

Les pirates sont passés par une application assez populaire utilisée par des milliers d’utilisateurs de Twitter. Il s’agit de « The Counter » (ou Twitter Counter), une application qui se connecte au compte Twitter pour fournir des statistiques de celui-ci. Je l’ai moi-même utilisée et elle était encore connectée à mon compte jusqu’à aujourd’hui. Au moment d’écrire ces lignes, le site de l’application n’est plus accessible.

Twitter Counter n'est plus disponible

C’est plutôt astucieux. En piratant une application connectée à des milliers de comptes Twitter, il devient plus facile de prendre le contrôle de ceux-ci puisqu’elle a des droits d’accès aux informations de l’utilisateur et des autorisations d’écriture sur les comptes ciblés.

Heureusement, le réseau a réagi rapidement en révoquant l’accès de l’application aux comptes piratés.

Des astuces pour sécuriser davantage votre compte Twitter

En 2012, j’avais publié un article sur ce blogue suite à une vague de comptes Twitter qui envoyaient en message privé (DM) des liens malveillants à leurs abonnés. Dans la plupart des cas, une application connectée au compte Twitter en était la cause.

Vérifiez les applications connectées à votre compte

Que vous ayez volontairement connecté une application à votre compte Twitter ou que vous ayez accepté la connexion proposée par l’une d’elles sur un site Internet quelconque, vérifiez à l’occasion ces applications dans les paramètres de votre compte.

Il suffit de vous rendre à cette adresse en étant connecté à votre compte Twitter et de cliquer sur le bouton « Révoquer » correspondant à l’application que vous ne connaissez pas ou qui vous semble suspecte : https://twitter.com/settings/applications

Révoquer une application Twitter

Il semble que Twitter ne permette pas d’accéder à la liste des applications connectées à son compte depuis l’application mobile (Android). Mais mon lien vous redirigera vers la version mobile de Twitter dans le navigateur de votre téléphone ou de votre tablette.

Activez la double authentification (validation en deux étapes)

Je recommande cette astuce pour vos comptes les plus importants (Twitter, Facebook, Google et autres), car elle ajoute une protection supplémentaire contre l’accès indésirable à vos comptes. Si un pirate trouve votre mot de passe, il ne pourra pas (théoriquement) accéder à votre compte puisqu’il a besoin d’une autre autorisation.

Twitter propose une option de « Connexion à votre compte ». Elle est accessible depuis les paramètres de votre compte à cette adresse sous la section « Sécurité » : https://twitter.com/settings/account

Option de vérification de connexion Twitter

Dans l’application mobile, appuyez sur le menu de Twitter (votre photo de profil) et sur « Paramètres et confidentialité ». Allez ensuite dans la section « Compte », puis « Sécurité ». Cochez l’option mentionnée plus haut.

Option de vérification de connexion Twitter sur mobile

En activant cette option, Twitter va vous envoyer un code par SMS au numéro de téléphone enregistré dans votre compte (si votre numéro n’est pas associé, Twitter vous le proposera). Ce code est requis dès que vous tentez de vous connecter à votre compte depuis un nouvel appareil, un autre navigateur Web ou une application tierce.

Si vous ne souhaitez pas divulguer votre numéro de téléphone à Twitter, ce dernier vous offre aussi la possibilité de récupérer un code de secours ou un code de connexion généré par l’application Twitter, de même qu’un mot de passe temporaire. Ces possibilités sont toutes offertes dans la même section mentionnée plus haut.

Choisissez un mot de passe complexe

Même si cette astuce est loin d’être infaillible, elle est déjà la base d’une sécurité renforcée de vos comptes sur Internet. Si vous êtes le type de personne à utiliser l’un des mots de passe les plus piratés en 2016 et les années précédentes (comme « 123456 » ou « abcde12345 »), le nom de votre animal de compagnie ou d’un membre de la famille, votre adresse postale ou même votre numéro de téléphone, changez immédiatement le mot de passe de votre compte Twitter.

Optez plutôt pour un mot de passe complexe. Plus il y a de caractères, mieux ce sera. Utilisez des majuscules et des minuscules, des chiffres autant que les lettres et des caractères spéciaux comme le point d’exclamation (!) et l’étoile (*). Voici un exemple de mot de passe complexe : *J3su1sUn3Pers0nnePrud3nt3!!

Si vous êtes aussi du genre à utiliser le même mot de passe (encore le nom de votre chat !) sur tous vos comptes Internet, qu’ils soient un réseau social ou le site de votre banque, changez-le sur tous les comptes en suivant le conseil donné au précédent paragraphe. N’oubliez pas de choisir un mot de passe différent pour chacun des comptes.

Enfin, je vous suggère d’utiliser un gestionnaire de mot de passe comme Dashlane que je vous présenterai bientôt dans un autre billet. En attendant, vous pouvez utiliser ce lien parrain pour vous inscrire et obtenir 6 mois de service Premium gratuitement (valeur de 20 $).