Vos messages privés sur Twitter supprimés… peut être pas complètement

Réseaux sociaux

Un “bug fonctionnel”, découvert par le chercheur en sécurité Karan Saini, empêche la suppression complète des messages privés (MP), que vous ayez ou non supprimé les messages ou même si les comptes qui ont envoyé ou reçu ces messages privés ont depuis été désactivés et suspendus.

messages prives

A priori, vous ne pouvez pas effacer vos traces sur Twitter. En effet : tout ce qui entre dans le réseau social Twitter restera coincé dans ses entrailles pendant des années.

C’est à cause d’un dysfonctionnement qu’un chasseur de bugs appelle “bug fonctionnel”. Le bug en question, découvert par le chercheur en sécurité Karan Saini, empêche la suppression complète des messages privés (MP), que vous ayez ou non supprimé les messages ou même si les comptes qui ont envoyé ou reçu ces messages privés ont été désactivés et suspendus depuis :

Saini a déclaré à TechCrunch qu’il avait trouvé des messages vieux de plusieurs années dans un fichier lorsqu’il avait téléchargé une archive de ses données depuis des comptes Twitter qu’il avait précédemment supprimés.

Vous pouvez télécharger les données de votre/(vos) compte(s) pour avoir une idée des informations et données que Twitter collecte et conserve sur vous.

Le chercheur a déclaré avoir signalé un bug similaire, découvert un an plus tôt, mais non divulgué jusqu’à présent, qui lui permettait d’utiliser une API dépréciée depuis pour récupérer des messages privés, même après la suppression d’un message par l’expéditeur et le destinataire. Ce bug précédent ne pouvait cependant pas affecter les messages privés des comptes suspendus.

Selon la politique de confidentialité de Twitter, lorsque vous supprimez votre compte, tout est supposé partir en fumée après un délai de grâce de 30 jours :

Une fois désactivé, votre compte Twitter, y compris votre nom d’affichage, votre nom d’utilisateur et votre profil public, ne sera plus visible sur Twitter.com, Twitter pour iOS et Twitter pour Android. Jusqu’à 30 jours après la désactivation, il sera encore possible de restaurer votre compte Twitter s’il a été désactivé accidentellement ou à tort.

… À l’exception des données de log, qu’il conserve jusqu’à 18 mois. Les données de log incluent des informations telles que l’adresse IP, le type de navigateur, le système d’exploitation, les sites référents, les pages visitées, l’emplacement, l’opérateur de téléphonie mobile et les informations relatives au périphérique.

En 2013, les utilisateurs de Twitter pouvaient “supprimer des messages privés”, ce qui signifiait qu’ils pouvaient les effacer de la boîte de réception de quelqu’un d’autre en supprimant simplement les messages de la leur. Il y a des années, Twitter a changé cela : les utilisateurs ne peuvent désormais supprimer que les messages au niveau de leur propre compte. Voici un extrait du centre d’assistance de Twitter :

Lorsque vous supprimez un message privé ou une conversation (envoyée ou reçue), ce/cette dernier/dernière est uniquement supprimé(e) de votre compte. Les autres participants à la conversation pourront toujours voir les messages privés ou les conversations que vous avez supprimé(e)s.

Selon Fortune, Saini a signalé le bug via HackerOne, une plateforme bug bounty qui travaille avec Twitter.

Un porte-parole de Twitter a déclaré à TechCrunch que la société examinait la question “pour s’assurer que nous avions pris en compte toute la portée du problème”. Twitter a également déclaré à Fortune que la question était “toujours ouverte”, ainsi il ne pouvait pas donner publiquement plus de détails.

A l’instar de Saini, Twitter appelle cela un “bug fonctionnel”, par opposition à un “bug de sécurité”. Ses porte-parole ont refusé de commenter lorsque TechCrunch a demandé si Twitter considérait la suppression d’un compte comme une annulation du consentement concernant la conservation de messages privés.

J’ai demandé à Twitter de commenter, l’article sera mis à jour en de retour.


Billet inspiré de If you think your deleted Twitter DMs are sliding into the trash, you’re wrong, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.