Le blog

Faille sur Twitter : l'oiseau mangé par un ver

Twitter victime d'un verLe site Twitter.com a été victime hier d’une faille de sécurité, exploitée par des hackers. L’incident, sans conséquences, se distingue par son ampleur mondiale… Faut-il craindre d’autres incidents plus graves sur les réseaux sociaux ?

Hier, peu avant midi, le site twitter.com a été victime d’une faille de sécurité de type XSS (Cross-Site Scripting). Un bout de code javascript provenant d’un site malicieux a été placé dans un tweet, comme s’il s’agissait de texte.

Cependant, et c’est là qu’est la faille, ce code a été exécuté par le navigateur des internautes ayant affiché ce tweet, au lieu d’être lu comme du texte. L’internaute qui a découvert la faille a ainsi pu changer la couleur des tweets envoyés, et faire en sorte d’ouvrir une fenêtre pop-up lors du survol d’un lien.

D’autres utilisateurs ont sont allés plus loin, en modifiant le code pour qu’il cause un retweet automatique des tweets « infectés ». C’est ainsi que le « ver » a pu se propager de compte en compte, et affecter un grand nombre d’utilisateurs.

Le problème avait déjà été identifié (et corrigé) le mois dernier, mais une mise à jour de Twitter a fait ressurgir le problème. Cette faille de sécurité a été corrigée en 7 heures par les équipes de Twitter, et l’incident n’a pas eu de conséquences sur les données personnelles des utilisateurs.

Quelles conclusions en tirer ?

L’incident, sans gravité, est toutefois révélateur des nouveaux risques pouvant se développer avec les réseaux sociaux. En effet,les concepteurs du « ver » ont tiré parti de ce qui fait la force de Twitter : le quasi-temps réel. 500 000 personnes auraient été touchées par cet incident, et sa diffusion mondiale a donné une visibilité importante à ce phénomène.

Bien que cette faille soit sans conséquences sur les données personnelles des usagers, on ne peut s’empêcher d’imaginer ce qui arriverait si c’était le cas… Publication des messages privés ? Collecte d’adresses e-mail ? Les informations présentes sur un compte Twitter sont assez limitées, mais qu’arriverait-il si une faille était exploitée sur FaceBook ?

Cet incident met une fois de plus en lumière la lourde responsabilité qu’ont les concepteurs de réseaux sociaux par rapport à la sécurité des informations privées de leurs membres… C’est ce qu’ont compris les concepteurs de Diaspora !

Merci à @oxmopuccino pour l’idée de titre !



Aucun Commentaire à “Faille sur Twitter : l'oiseau mangé par un ver”

  1. D’ailleurs, ( aucun rapport avec twitter), les premiers noeuds Diaspora publics sont déja disponibles:

    ils ne sont que l’oeuvre de particuliers, aucun lien officiel avec diaspora: http://pontari.us

  2. Grégoire

    @Florian (le 1er ;-)) Oui, mais le fait que le code source de Diaspora soit ouvert permet à tout un chacun (enfin presque) de détecter les failles de sécurité, sans attendre que les développeurs de l’équipe ne les trouvent. C’est la force de l’Open Source !

  3. Florian - le 2eme ;)

    @Grégoire Exact, et c’est d’ailleurs le but de cette pré-alpha.

    D’ailleurs les commentaires de l’article cité par Florian ( le 1er :) ) sont, comme bien souvent, plus interessants que l’article en lui-même, et parlent tres bien de ca.

  4. www.blueboat.fr

    Hack de twitter loiseau mange par un ver.. OMG! :)