C’était la news sur Twitter hier après midi, au point d’éclipser toute autre information.
En effet, le réseau social de micro-blogging a été victime d’une faille XSS exploitable directement depuis son raccourcisseur d’URL t.co.
Alors pour ceux qui ne connaissent pas ce genre de faille, elle consiste à faire passer un bout de code dans l’URL, exécutable directement sur la machine du client qui suit le lien. Un moyen frauduleux qui peut permettre de récupérer des informations ou planter une machine.
La faille utilisait donc le raccourcisseur d’URL t.co (celui officiel de twitter) qui ne prenait pas la peine de vérifier qu’aucune ligne de code ne soit présente dans l’URL avant de la raccourcir. Du coup il devenait très facile de partager « rapidement » un lien frauduleux ou qui pouvait amuser la galerie.
Ainsi tout le monde est allé de son petit hack, j’ai vu passé entre autre un lien permettant de colorer ses tweets aux couleurs d’un arc en ciel, la génération infinie de popup javascript marquant hello (ce qui vous plantera votre navigateur à coup sûr et surement votre ordinateur)…
Dans ces petits piratages, nous avons eu deux combinaisons plus virulentes que la moyenne. La première consistaient à produire un tweet de spam qui se répliquait au survol de votre sourie sur le tweet en question (propagation très rapide via l’événement javascript onmouseover).Twitter s’explique:
The security exploit that caused problems this morning Pacific time was caused by cross-site scripting (XSS). Cross-site scripting is the practice of placing code from an untrusted website into another one. In this case, users submitted javascript code as plain text into a Tweet that could be executed in the browser of another user.
L’autre, quant à elle, recouvrait l’ensemble de la fenêtre par un lien spam frauduleuxet se partageait par retweet automatique.
Bien évidemment, Twitter a corrigé rapidement la faille dans l’après-midi (ce qui a dû le retarder sur le déploiement de sa nouvelle version). Les utilisateurs utilisant des applications tierces n’ont pas été touché puisque la plupart utilise des raccourcisseurs d’URL sécurisés, ayant déjà expérimentés ce genre de failles. Les conséquences au final sont assez minimes même si des liens vers des sites de SPAM peuvent être présent.
On a pu voir que Twitter peut s’avérer un outil formidable pour les pirates aussi qui ont su exploiter la faille très rapidement et de manière astucieuse. Twitter doit accuser le coup puisque seule sa version en ligne a été touché, du fait qu’il utilise ce raccourcisseur d’URL et qu’il permet d’automatiser facilement des actions (notamment le retweet automatique). Il est d’autant plus dommageable pour Twitter qu’il avait déjà découvert et soi-disant bouché la faille il y a de cela un mois.
We discovered and patched this issue last month. However, a recent site update (unrelated to new Twitter) unknowingly resurfaced it.
Il ne faudrait pas que cela arrive trop souvent sous peine que Twitter perde sa crédibilité car il est évident que les membres ne vont pas comprendre pourquoi l’affichage déraille ou qu’il tweet n’importe quoi.