Twitter a été victime d’une faille XSS

Exemple utilisation faille XSS Twitter

Vous avez une idée ? Trouvez gratuitement des développeurs sur Codeur.com !

Recevez des devis (gratuit)

C’était la news sur Twitter hier après midi, au point d’éclipser toute autre information. En effet, le réseau social de micro-blogging a été victime d’une faille XSS exploitable directement depuis son raccourcisseur d’URL t.co. Alors pour ceux qui ne connaissent pas ce genre de faille, elle consiste à faire passer un bout de code dans l’URL, exécutable directement sur la machine du client qui suit le lien. Un moyen frauduleux qui peut permettre de récupérer des informations ou planter une machine.

La faille utilisait donc le raccourcisseur d’URL t.co (celui officiel de twitter) qui ne prenait pas la peine de vérifier qu’aucune ligne de code ne soit présente dans l’URL avant de la raccourcir. Du coup il devenait très facile de partager « rapidement » un lien frauduleux ou qui pouvait amuser la galerie. Ainsi tout le monde est allé de son petit hack, j’ai vu passé entre autre un lien permettant de colorer ses tweets aux couleurs d’un arc en ciel, la génération infinie de popup javascript marquant hello (ce qui vous plantera votre navigateur à coup sûr et surement votre ordinateur)…

Dans ces petits piratages, nous avons eu deux combinaisons plus virulentes que la moyenne. La première consistaient à produire un tweet de spam qui se répliquait au survol de votre sourie sur le tweet en question (propagation très rapide via l’événement javascript onmouseover).Twitter s’explique:

The security exploit that caused problems this morning Pacific time was caused by cross-site scripting (XSS). Cross-site scripting is the practice of placing code from an untrusted website into another one. In this case, users submitted javascript code as plain text into a Tweet that could be executed in the browser of another user.

L’autre, quant à elle, recouvrait l’ensemble de la fenêtre par un lien spam frauduleux et se partageait par retweet automatique.

Bien évidemment, Twitter a corrigé rapidement la faille dans l’après-midi (ce qui a dû le retarder sur le déploiement de sa nouvelle version). Les utilisateurs utilisant des applications tierces n’ont pas été touché puisque la plupart utilise des raccourcisseurs d’URL sécurisés, ayant déjà expérimentés ce genre de failles. Les conséquences au final sont assez minimes même si des liens vers des sites de SPAM peuvent être présent.

On a pu voir que Twitter peut s’avérer un outil formidable pour les pirates aussi qui ont su exploiter la faille très rapidement et de manière astucieuse. Twitter doit accuser le coup puisque seule sa version en ligne a été touché, du fait qu’il utilise ce raccourcisseur d’URL et qu’il permet d’automatiser facilement des actions (notamment le retweet automatique). Il est d’autant plus dommageable pour Twitter qu’il avait déjà découvert et soi-disant bouché la faille il y a de cela un mois.

We discovered and patched this issue last month. However, a recent site update (unrelated to new Twitter) unknowingly resurfaced it.

Il ne faudrait pas que cela arrive trop souvent sous peine que Twitter perde sa crédibilité car il est évident que les membres ne vont pas comprendre pourquoi l’affichage déraille ou qu’il tweet n’importe quoi.

Source: Zdnet

L’équipe de WebActus.net vous propose tous les jours des articles sur l’univers des startups, du e-commerce et du growth hacking.

  • Pat

    Il y a quand même une chose effrayante dans tout cela, c’est que cette faille avait déjà été corrigée et que sur les changements opérés, les développeurs aient réussi à perdre de vue la sécurité sur des failles aussi futiles mais qui peuvent avoir des conséquences graves.

    • Yep tu as raison. Il est vrai qu’elle ne devrait pas faire ce genre de faute (proche de la faute professionnel grave) même si aucune entreprise n’est infaillible. Ce qui peut plaider en sa faveur, c’est qu’elle a connu une croissante très impressionnante ces derniers mois/ans et du coup il a du adapter tant bien que mal sa structure pour répondre à cette nouvelle architecture. Du coup il est encore jeune dans ces déploiements ce qui peut avoir ce genre de causes.

  • Pingback: Twitter vient d’annoncer le rachat de l’entreprise américaine Whisper Systems, spécialisé dans la sécurité informatique et notamment de le cryptage des données. | Duodeci()

Rejoignez la communauté Webactus

Recevez régulièrement les meilleures actus et ressources

Pas de spam, vous pouvez vous désabonner à tous moment.