Nous souhaitons vous informer au sujet d'une faille qui a permis à une personne de saisir un numéro de téléphone ou une adresse email pendant la procédure de connexion dans le but de déterminer si ces informations étaient liées à un compte Twitter existant, et si oui, à quel compte exactement. Nous prenons très au sérieux la responsabilité qui est la nôtre de protéger votre vie privée, et nous regrettons ce qui s'est passé. Vous n'avez aucune mesure spécifique à prendre en ce qui concerne ce problème. Toutefois, nous voulons vous informer sur ce qu’il s'est produit, sur les mesures que nous avons prises et sur les bonnes pratiques à suivre pour sécuriser votre compte.

Que s'est‑il passé ?

En janvier 2022, nous avons reçu un signalement via notre programme Bug Bounty au sujet d'une vulnérabilité des systèmes Twitter. En indiquant une adresse email ou un numéro de téléphone aux systèmes Twitter, une personne pouvait découvrir à quel compte Twitter cette adresse email ou ce numéro de téléphone était associé, le cas échéant. Ce bug est apparu suite à une mise à jour de notre code effectuée en juin 2021. Dès que nous avons pris connaissance de ce problème, nous avons immédiatement enquêté et nous l'avons résolu. À ce moment‑là, nous ne disposions d'aucune preuve suggérant que quelqu'un ait pu exploiter cette faille. 

En juillet 2022, nous avons appris dans un rapport de presse qu'une personne avait pu profiter de cette vulnérabilité et se proposait de vendre les informations compilées. Après avoir passé en revue un échantillon des données mises en vente, nous avons confirmé qu'une personne malintentionnée avait effectivement exploité ce problème avant sa résolution.

Nous préviendrons directement les titulaires de comptes dont nous avons pu établir qu'ils ont été impactés par ce problème. Nous publions cet article car il ne nous est pas possible de déterminer tous les comptes potentiellement affectés, et parce que les personnes qui utilisent leur compte avec un pseudonyme sont susceptibles d'être ciblées par des États ou des personnes malintentionnées.

Comment protéger votre compte

Si vous utilisez votre compte Twitter avec un pseudonyme, nous sommes conscients des risques qu'un tel incident peut vous faire courir et nous regrettons sincèrement qu'il se soit produit. Afin que votre identité reste aussi masquée que possible, nous vous recommandons de ne pas ajouter de numéro de téléphone ni d'adresse email connus publiquement à votre compte Twitter.

Même si aucun mot de passe n'a été exposé, nous encourageons tous les utilisateurs de Twitter à activer l'authentification à deux facteurs, qui protège les comptes des connexions non autorisées via des applications d'authentification ou des clés de sécurité matérielles. Si la sécurité de votre compte vous préoccupe ou si vous avez des questions sur la manière dont nous protégeons vos données personnelles, vous pouvez contacter notre service de protection des données via ce formulaire. 

Pour en savoir plus sur le signalement d'une faille de sécurité, consultez notre Centre d'assistance. Par ailleurs, vous trouverez plus d'informations sur les efforts que nous déployons afin de protéger Twitter des manipulations de la plateforme et des activités soutenues par des États dans le Rapport de transparence Twitter.