Navigation

Toutes les catégories

Voir les derniers articles

Twitter a été victime d’une faille XSS

C’était la news sur Twitter hier après midi, au point d’éclipser toute autre information. En effet, le réseau social de micro-blogging a été victime d’une faille...

Exemple utilisation faille XSS Twitter

C’était la news sur Twitter hier après midi, au point d’éclipser toute autre information. En effet, le réseau social de micro-blogging a été victime d’une faille XSS exploitable directement depuis son raccourcisseur d’URL t.co. Alors pour ceux qui ne connaissent pas ce genre de faille, elle consiste à faire passer un bout de code dans l’URL, exécutable directement sur la machine du client qui suit le lien. Un moyen frauduleux qui peut permettre de récupérer des informations ou planter une machine.

La faille utilisait donc le raccourcisseur d’URL t.co (celui officiel de twitter) qui ne prenait pas la peine de vérifier qu’aucune ligne de code ne soit présente dans l’URL avant de la raccourcir. Du coup il devenait très facile de partager « rapidement » un lien frauduleux ou qui pouvait amuser la galerie. Ainsi tout le monde est allé de son petit hack, j’ai vu passé entre autre un lien permettant de colorer ses tweets aux couleurs d’un arc en ciel, la génération infinie de popup javascript marquant hello (ce qui vous plantera votre navigateur à coup sûr et surement votre ordinateur)…

Dans ces petits piratages, nous avons eu deux combinaisons plus virulentes que la moyenne. La première consistaient à produire un tweet de spam qui se répliquait au survol de votre sourie sur le tweet en question (propagation très rapide via l’événement javascript onmouseover).Twitter s’explique :

The security exploit that caused problems this morning Pacific time was caused by cross-site scripting (XSS). Cross-site scripting is the practice of placing code from an untrusted website into another one. In this case, users submitted javascript code as plain text into a Tweet that could be executed in the browser of another user.

L’autre, quant à elle, recouvrait l’ensemble de la fenêtre par un lien spam frauduleux et se partageait par retweet automatique.

Bien évidemment, Twitter a corrigé rapidement la faille dans l’après-midi (ce qui a dû le retarder sur le déploiement de sa nouvelle version). Les utilisateurs utilisant des applications tierces n’ont pas été touché puisque la plupart utilise des raccourcisseurs d’URL sécurisés, ayant déjà expérimentés ce genre de failles. Les conséquences au final sont assez minimes même si des liens vers des sites de SPAM peuvent être présent.

On a pu voir que Twitter peut s’avérer un outil formidable pour les pirates aussi qui ont su exploiter la faille très rapidement et de manière astucieuse. Twitter doit accuser le coup puisque seule sa version en ligne a été touché, du fait qu’il utilise ce raccourcisseur d’URL et qu’il permet d’automatiser facilement des actions (notamment le retweet automatique). Il est d’autant plus dommageable pour Twitter qu’il avait déjà découvert et soi-disant bouché la faille il y a de cela un mois.

We discovered and patched this issue last month. However, a recent site update (unrelated to new Twitter) unknowingly resurfaced it.

Il ne faudrait pas que cela arrive trop souvent sous peine que Twitter perde sa crédibilité car il est évident que les membres ne vont pas comprendre pourquoi l’affichage déraille ou qu’il tweet n’importe quoi.

Source : Zdnet

Afficher les commentaires (3)

Commentaires

  • Pat

    Il y a quand même une chose effrayante dans tout cela, c’est que cette faille avait déjà été corrigée et que sur les changements opérés, les développeurs aient réussi à perdre de vue la sécurité sur des failles aussi futiles mais qui peuvent avoir des conséquences graves.

    • Romain

      Yep tu as raison. Il est vrai qu’elle ne devrait pas faire ce genre de faute (proche de la faute professionnel grave) même si aucune entreprise n’est infaillible. Ce qui peut plaider en sa faveur, c’est qu’elle a connu une croissante très impressionnante ces derniers mois/ans et du coup il a du adapter tant bien que mal sa structure pour répondre à cette nouvelle architecture. Du coup il est encore jeune dans ces déploiements ce qui peut avoir ce genre de causes.

  • Twitter vient d’annoncer le rachat de l’entreprise américaine Whisper Systems, spécialisé dans la sécurité informatique et notamment de le cryptage des données. | Duodeci

    […] la plateforme Twitter infaillible aux bugs/failles (ce qui n’était pas le cas jusque ici: faille XSS, Faille Twitter Accept et autres […]

Newsletter WebActus

Abonnez-vous pour recevoir notre sélection des meilleurs articles directement dans votre boîte mail.

Nous ne partagerons pas votre adresse e-mail.

Articles similaires

Webmarketing

7 outils pour votre stratégie social listening

Au-delà de la simple communication, les réseaux sociaux sont un excellent moyen de garder un œil sur la réputation de votre entreprise et de prendre la...

Publié le par Celine Albarracin
Webmarketing

L’évolution des dépenses en publicité sur les réseaux sociaux

Voilà une infographie fort intéressante montrant l’évolution des dépenses en publicité sur les réseaux sociaux. Avec la succès que ces applications ont rencontré ces...

Publié le par Team WebActus