202 - Plainte de la Federal Trade Commission contre Twitter

starbuck - 19.07.2010 | 0 réactions | #link | rss

Tag(s): commedansdubeurre

securite

analyses

twitter

ftc

securite web

La Federal Trade Commission a publié le 24 juin dernier les conclusions de son investigation menée sur Twitter, le service de diffusion de messages courts suite aux attaques informatiques menées sur le service durant l'année 2009 et qui ont conduit à l'usurpation de l'identité de plusieurs utilisateurs, dont celle du Président des Etats-Unis.

La plainte se conclut par un accord à l'amiable enjoignant Twitter à mettre en oeuvre une série de contrôles et mesures de sécurité dans l'application hébergeant le service.

Le contexte

Twitter est une plateforme en ligne de réseautage social rendue publique en 2006 et proposant à ses utilisateurs de diffuser et partager des messages courts de 140 caractères, pouvant être agrégés par thématique, recherche en termes ou simplement, par leur auteur.

La nature du service, à savoir, un service web proposant des fonctionnalités telles que le stockage d'éléments d'authentification personnelle et la publication confidentielle ou massive de messages attribués, constitue un foyer potentiel de risques liés à la protection des données personnelles. Par extension, exigeant la mise en oeuvre de mesures de sécurité, du moins, selon les lois en vigueur lors de la mise en ligne du service.

Entre janvier et mai 2009, Twitter a été la cible d'attaques sur son dispositif d'authentification des utilisateurs. Ce dernier étant mal protégé contre les attaques de type " bruteforce ", un pirate informatique a tenté plusieurs milliers de combinaisons de mots de passes pour finalement réussir à prendre le contrôle du compte d'un utilisateur de la plateforme, à qui des droits administratifs avaient été assignés.

Grâce à ses privilèges administratifs, le pirate a réinitialisé les mots de passes des comptes appartenant à plusieurs célébrités. Il a ensuite publié la liste des nouveaux mots de passes sur Internet.

Rapidement, des personnes se sont alors empressées de réutiliser ces mots de passes afin de véhiculer des messages sur la plateforme Twitter en usurpant l'identité des célébrités, dont celle de l'actuel président des Etats-Unis, Barack Obama. Plus de 150'000 personnes étaient abonnées à son compte lors de la diffusion de messages à caractère publicitaire et commercial.

Lors d'une seconde intrusion en avril 2009, un pirate informatique (pas nécessairement le même que lors de la première intrusion) avait réussi à s'introduire dans le compte de messagerie électronique de l'un des administrateurs de Twitter. Ce dernier y avait stocké ses mots de passes en forme claire, dont l'un donnant l'accès à la console d'administration du service, incluant l'accès à tous les messages des utilisateurs, privés ou publics. Twitter comptait à ce moment plus de 7 millions d'utilisateurs enregistrés.

Soupçonnant une violation du règlement d'affaires en vigueur, l'organisme de régulation des affaires commerciales (Federal Trade Commission) a déposé une plainte contre Twitter en septembre 2009.

La plainte

Dans le document de plainte (que vous pouvez récupérer ici), la FTC constate les éléments suivants :

La FTC a constaté que Twitter s'est explicitement engagé envers ses clients à mettre en oeuvre les mesures de sécurité adéquates et appropriées pour maintenir la confidentialité et l'intégrité des données personnelles des utilisateurs, via ses conditions d'utilisation et garanties.
La FTC a formalisé une liste des bonnes pratiques de sécurité, dont les utilisateurs sont légitimement en droit d'estimer qu'elles ont été mises en oeuvre.
La FTC a constaté que Twitter n'a pas mis en oeuvre les mesures identifiées comme des bonnes pratiques de sécurisation de son produit. Ce manquement a techniquement permis les deux intrusions survenues au cours de l'année 2009.
La FTC a constaté que le manquement constaté a induit une violation des garanties communiquées aux utilisateurs, constituant par extension une représentation fausse ou trompeuse de la relation entre Twitter et ses utilisateurs.

La résolution

Pas de scénario hollywoodien cette fois, Twitter s'en sort avec un arrangement à l'amiable pourrait-on dire. Quel en est le contenu ?

Plus de mensonges

En premier lieu, Twitter n'a plus le droit d'exagérer ou de prétendre la mise en place de mesures visant à garantir la sécurité du service, la protection de la sphère privée des utilisateurs et la confidentialité des données à caractère privé.

Mise en place d'un programme d'assurance en sécurité de l'information

Twitter s'engage à mettre en oeuvre le programme d'assurance en sécurité de l'information selon les recommandations suivantes :

Un responsable du programme d'assurance en sécurité de l'information sera désigné
Les menaces et risques pouvant s'exercer sur le service seront identifiés ainsi que les contremesures qui s'y appliquent. Notamment :

Les mesures de formation du personnel
Les mesures de sécurisation technique du système d'information
Les mesures de détection et de réponse à d'éventuelles intrusions

Un processus de contrôle de la bonne mise en oeuvre des mesures de sécurité est mis en place (audit)
Il sera réalisé par une organisation indépendante, par des auditeurs certifiés CISSP, CISA, GIAC ou accrédités par l'autorité de surveillance
L'audit sera effectué au moins une fois tous les 2 ans, durant 10 ans au moins
Twitter conservera durant 3 ans au moins, une copie de toute nouvelle version de ses conditions générales d'utilisation et garanties aux utilisateurs
Twitter conservera durant 6 mois au moins, les traces de toute nouvelle plainte reçue et s'inscrivant dans le scope des éléments qui lui ont été reprochés dans la plainte actuelle
Twitter remettra une copie de l'accord établi entre la société et la FTC à tout nouveau collaborateur dont les tâches et les responsabilités incluraient la sécurité du système d'information
L'accord est établi pour une durée de 20 ans.

Les bonnes pratiques n'ayant pas été mises en oeuvre par Twitter

La liste ci-après décrit les erreurs de conception ou d'implémentation commises qui, selon la FTC, constituent une rupture du rapport de confiance entre les utilisateurs et Twitter :

La politique de gestion des mots de passes n'exigeait pas un degré de complexité élevé, en particulier, empêchant l'utilisation de mots de passes basés sur des mots issus du dictionnaire et enjoignant l'utilisateur à ne pas choisir un mot de passe déjà utilisé pour se connecter à d'autres systèmes, n'a pas été mise en oeuvre.
Le dispositif permettait le stockage de mots de passes sous forme claire au sein de messages électroniques (notification du mot de passe par email)
Le dispositif d'authentification ne désactivait pas un compte après un certain nombre de tentatives de connexion infructueuses
Le dispositif d'authentification pour les administrateurs du service était le même que celui des utilisateurs du service
La politique de gestion des mots de passes n'attribuait pas une durée de vie adéquate aux mots de passes (expiration après 90 jours)
Le contrôle d'accès de niveau administratif ne disposait pas d'une granularité nécessaire permettant une ségrégation des pouvoirs (granularité des permissions administratives et contrôles d'accès par rôle)
Le contrôle d'accès de niveau administratif ne restreignait pas les accès à des réseaux reconnus comme sûrs (réseau interne à la société)

Commentaires

Ce cas traité par la FTC a deux particularités. En premier lieu, il constitue le premier cas de résolution suite à une plainte sur un service de réseautage social. Nous savons d'ores-et-déjà qu'une autre plainte a été déposée, à l'encontre de Facebook, un autre service de réseautage social comptant actuellement un peu moins de 500 millions d'utilisateurs.
En second lieu, via l'adjonction de mise en oeuvre d'un programme d'assurance dans la sécurité du système d'information et d'audits réguliers, la FTC prend position et émet un avertissement clair aux sociétés proposant des services en ligne traitant des données personnelles à d'autres fins que financières, médicales ou publiques.

D'autre part, l'on notera, pour la beauté du cas, que les mesures techniques que Twitter n'a pas mis en place dans son service font partie des recommandations de base au sein de plusieurs référentiels de sécurité logicielle, tels que le critère d'évaluation de la sécurité d'une application web (OWASP ASVS – Application Security Verification Standard) publié par l'OWASP et disponible gratuitement sur le site de l'organisation.

Finalement, et d'un point de vue strictement analytique, Twitter pourrait à présent effectuer une analyse du coût induit par cette ingérence dans la sécurisation de son application web (frais directement liés à la plainte, frais de conseil juridique, coût de correction et mise à niveau des services, coûts de recrutement d'une personne compétente dans la mise en oeuvre des bonnes pratiques et coûts bisannuels induits par l'audit du système d'information par une organisation indépendante reconnue par la FTC) face aux coûts qui auraient été induits par une approche plus proactive (recrutement ponctuel d'un consultant capable d'identifier, recommander et évaluer l'implémentation des mesures adéquates ainsi que la charge technique liée au développement de ces mesures dans le service).

Il ne reste qu'à clore cette note en rappelant que les mesures édictées par la FTC n'auraient pas pu être évaluées par un simple test d'intrusion externe, activité que de nombreuses sociétés s'évertuent encore malheureusement à privilégier lorsqu'elles font appel à des prestataires de services en sécurité de l'information...

^{Pour les grands curieux:

New Data on Twitter's Users and Engagement (Metric System)
FTC Announcement (Twitter blog)
Twitter vs. FTC (ftc.gov)
Federal Trade Commission Act (ftc.gov)
Application Security Verification Standard (owasp.org)}

comme dans du beurre Quelques réflexions indiscrètes sur les technologies de l'information, la mobilité, la protection des données personnelles
202 - Plainte de la Federal Trade Commission contre Twitter starbuck - 19.07.2010 \| 0 réactions \| #link \| rss Tag(s): commedansdubeurre securite analyses twitter ftc securite web La Federal Trade Commission a publié le 24 juin dernier les conclusions de son investigation menée sur Twitter, le service de diffusion de messages courts suite aux attaques informatiques menées sur le service durant l'année 2009 et qui ont conduit à l'usurpation de l'identité de plusieurs utilisateurs, dont celle du Président des Etats-Unis. La plainte se conclut par un accord à l'amiable enjoignant Twitter à mettre en oeuvre une série de contrôles et mesures de sécurité dans l'application hébergeant le service. Le contexte Twitter est une plateforme en ligne de réseautage social rendue publique en 2006 et proposant à ses utilisateurs de diffuser et partager des messages courts de 140 caractères, pouvant être agrégés par thématique, recherche en termes ou simplement, par leur auteur. La nature du service, à savoir, un service web proposant des fonctionnalités telles que le stockage d'éléments d'authentification personnelle et la publication confidentielle ou massive de messages attribués, constitue un foyer potentiel de risques liés à la protection des données personnelles. Par extension, exigeant la mise en oeuvre de mesures de sécurité, du moins, selon les lois en vigueur lors de la mise en ligne du service. Entre janvier et mai 2009, Twitter a été la cible d'attaques sur son dispositif d'authentification des utilisateurs. Ce dernier étant mal protégé contre les attaques de type " bruteforce ", un pirate informatique a tenté plusieurs milliers de combinaisons de mots de passes pour finalement réussir à prendre le contrôle du compte d'un utilisateur de la plateforme, à qui des droits administratifs avaient été assignés. Grâce à ses privilèges administratifs, le pirate a réinitialisé les mots de passes des comptes appartenant à plusieurs célébrités. Il a ensuite publié la liste des nouveaux mots de passes sur Internet. Rapidement, des personnes se sont alors empressées de réutiliser ces mots de passes afin de véhiculer des messages sur la plateforme Twitter en usurpant l'identité des célébrités, dont celle de l'actuel président des Etats-Unis, Barack Obama. Plus de 150'000 personnes étaient abonnées à son compte lors de la diffusion de messages à caractère publicitaire et commercial. Lors d'une seconde intrusion en avril 2009, un pirate informatique (pas nécessairement le même que lors de la première intrusion) avait réussi à s'introduire dans le compte de messagerie électronique de l'un des administrateurs de Twitter. Ce dernier y avait stocké ses mots de passes en forme claire, dont l'un donnant l'accès à la console d'administration du service, incluant l'accès à tous les messages des utilisateurs, privés ou publics. Twitter comptait à ce moment plus de 7 millions d'utilisateurs enregistrés. Soupçonnant une violation du règlement d'affaires en vigueur, l'organisme de régulation des affaires commerciales (Federal Trade Commission) a déposé une plainte contre Twitter en septembre 2009. La plainte Dans le document de plainte (que vous pouvez récupérer ici), la FTC constate les éléments suivants : La FTC a constaté que Twitter s'est explicitement engagé envers ses clients à mettre en oeuvre les mesures de sécurité adéquates et appropriées pour maintenir la confidentialité et l'intégrité des données personnelles des utilisateurs, via ses conditions d'utilisation et garanties. La FTC a formalisé une liste des bonnes pratiques de sécurité, dont les utilisateurs sont légitimement en droit d'estimer qu'elles ont été mises en oeuvre. La FTC a constaté que Twitter n'a pas mis en oeuvre les mesures identifiées comme des bonnes pratiques de sécurisation de son produit. Ce manquement a techniquement permis les deux intrusions survenues au cours de l'année 2009. La FTC a constaté que le manquement constaté a induit une violation des garanties communiquées aux utilisateurs, constituant par extension une représentation fausse ou trompeuse de la relation entre Twitter et ses utilisateurs. La résolution Pas de scénario hollywoodien cette fois, Twitter s'en sort avec un arrangement à l'amiable pourrait-on dire. Quel en est le contenu ? Plus de mensonges En premier lieu, Twitter n'a plus le droit d'exagérer ou de prétendre la mise en place de mesures visant à garantir la sécurité du service, la protection de la sphère privée des utilisateurs et la confidentialité des données à caractère privé. Mise en place d'un programme d'assurance en sécurité de l'information Twitter s'engage à mettre en oeuvre le programme d'assurance en sécurité de l'information selon les recommandations suivantes : Un responsable du programme d'assurance en sécurité de l'information sera désigné Les menaces et risques pouvant s'exercer sur le service seront identifiés ainsi que les contremesures qui s'y appliquent. Notamment : Les mesures de formation du personnel Les mesures de sécurisation technique du système d'information Les mesures de détection et de réponse à d'éventuelles intrusions Un processus de contrôle de la bonne mise en oeuvre des mesures de sécurité est mis en place (audit) Il sera réalisé par une organisation indépendante, par des auditeurs certifiés CISSP, CISA, GIAC ou accrédités par l'autorité de surveillance L'audit sera effectué au moins une fois tous les 2 ans, durant 10 ans au moins Twitter conservera durant 3 ans au moins, une copie de toute nouvelle version de ses conditions générales d'utilisation et garanties aux utilisateurs Twitter conservera durant 6 mois au moins, les traces de toute nouvelle plainte reçue et s'inscrivant dans le scope des éléments qui lui ont été reprochés dans la plainte actuelle Twitter remettra une copie de l'accord établi entre la société et la FTC à tout nouveau collaborateur dont les tâches et les responsabilités incluraient la sécurité du système d'information L'accord est établi pour une durée de 20 ans. Les bonnes pratiques n'ayant pas été mises en oeuvre par Twitter La liste ci-après décrit les erreurs de conception ou d'implémentation commises qui, selon la FTC, constituent une rupture du rapport de confiance entre les utilisateurs et Twitter : La politique de gestion des mots de passes n'exigeait pas un degré de complexité élevé, en particulier, empêchant l'utilisation de mots de passes basés sur des mots issus du dictionnaire et enjoignant l'utilisateur à ne pas choisir un mot de passe déjà utilisé pour se connecter à d'autres systèmes, n'a pas été mise en oeuvre. Le dispositif permettait le stockage de mots de passes sous forme claire au sein de messages électroniques (notification du mot de passe par email) Le dispositif d'authentification ne désactivait pas un compte après un certain nombre de tentatives de connexion infructueuses Le dispositif d'authentification pour les administrateurs du service était le même que celui des utilisateurs du service La politique de gestion des mots de passes n'attribuait pas une durée de vie adéquate aux mots de passes (expiration après 90 jours) Le contrôle d'accès de niveau administratif ne disposait pas d'une granularité nécessaire permettant une ségrégation des pouvoirs (granularité des permissions administratives et contrôles d'accès par rôle) Le contrôle d'accès de niveau administratif ne restreignait pas les accès à des réseaux reconnus comme sûrs (réseau interne à la société) Commentaires Ce cas traité par la FTC a deux particularités. En premier lieu, il constitue le premier cas de résolution suite à une plainte sur un service de réseautage social. Nous savons d'ores-et-déjà qu'une autre plainte a été déposée, à l'encontre de Facebook, un autre service de réseautage social comptant actuellement un peu moins de 500 millions d'utilisateurs. En second lieu, via l'adjonction de mise en oeuvre d'un programme d'assurance dans la sécurité du système d'information et d'audits réguliers, la FTC prend position et émet un avertissement clair aux sociétés proposant des services en ligne traitant des données personnelles à d'autres fins que financières, médicales ou publiques. D'autre part, l'on notera, pour la beauté du cas, que les mesures techniques que Twitter n'a pas mis en place dans son service font partie des recommandations de base au sein de plusieurs référentiels de sécurité logicielle, tels que le critère d'évaluation de la sécurité d'une application web (OWASP ASVS – Application Security Verification Standard) publié par l'OWASP et disponible gratuitement sur le site de l'organisation. Finalement, et d'un point de vue strictement analytique, Twitter pourrait à présent effectuer une analyse du coût induit par cette ingérence dans la sécurisation de son application web (frais directement liés à la plainte, frais de conseil juridique, coût de correction et mise à niveau des services, coûts de recrutement d'une personne compétente dans la mise en oeuvre des bonnes pratiques et coûts bisannuels induits par l'audit du système d'information par une organisation indépendante reconnue par la FTC) face aux coûts qui auraient été induits par une approche plus proactive (recrutement ponctuel d'un consultant capable d'identifier, recommander et évaluer l'implémentation des mesures adéquates ainsi que la charge technique liée au développement de ces mesures dans le service). Il ne reste qu'à clore cette note en rappelant que les mesures édictées par la FTC n'auraient pas pu être évaluées par un simple test d'intrusion externe, activité que de nombreuses sociétés s'évertuent encore malheureusement à privilégier lorsqu'elles font appel à des prestataires de services en sécurité de l'information... ^{Pour les grands curieux: New Data on Twitter's Users and Engagement (Metric System) FTC Announcement (Twitter blog) Twitter vs. FTC (ftc.gov) Federal Trade Commission Act (ftc.gov) Application Security Verification Standard (owasp.org)} Cliquez pour ajouter votre commentaire	Vous souhaitez me contacter? cliquez-ici Les Quiz en cours Lutter contre le phishing pour pas cher Derniers articles · 206 - Données personnelles dans Google Buzz: Google paiera 8.5 millions de dollars · 205 - 1 million de dollars détournés via un cheval de Troie · 204 - Le mot de la rentrée · 203 - Firefox: la suite d'outils de tests d'intrusion contenait une backdoor · 202 - Plainte de la Federal Trade Commission contre Twitter · 201 - OWASP Appsec Research 2010 Stockholm – Jour 2 · 200 - OWASP Appsec Research 2010 Stockholm - Jour 1 · 199 - Nouveaux défis de la sécurité informatique en entreprise: les "téléphones sociaux" · 198 - Facebook ne gagnerait pas plus d'argent lorsque les utilisateurs partagent plus? · 197 - SuisseID: ils font même de la pub AdSense! Rubriques Actualité Analyses Billets techniques Hors sujet Autour du même sujet Bruno Kerouanton Sylvain Maret Data breaches chronology Hackersblog project HITB Intelligentzia - Stéphane Koch Peter Fleisher Secunews.be Sid Swiss security blog Terra Incognita Uditis Forensic - Stéphane Droxler Zythom, expert judiciaire Et ailleurs (à compléter) Acerberos Le Scal Turb(l)o(g) Recherche articles réactions Me contacter
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch

Le contexte

La plainte

La résolution

Commentaires

Les Quiz en cours

Derniers articles

Rubriques

Autour du même sujet

Et ailleurs (à compléter)

Recherche