MàJ: on sait que c'est un adolescent Australien qui est à l'origine de la découverte de cette faille, il ne pensait pas en revanche que son tweet aurait de telles conséquences (source)

Durant quelques heures aujourd'hui nous avons eu le droit à une nouvelle #Twitpocalypse qui a pollué des dizaines de milliers de timeline.

Des dizaines de milliers d'utilisateurs ont été victimes de plusieurs vers se propageant via le réseau social, de façon particulièrement efficace à cause d'une faille XSS. On parle de "ver" par abus de langage, puisqu'il s'agit d'une méthode malveillante qui s'est propagée de façon quasi-autonome (cf. définition).

Conséquence : de nombreux tweets publiés à l'insu des utilisateurs comme en témoigne le tweet de Marc :

Ce code Javascript permet de répliquer un code couleur noir dès qu'il est survolé par la souris (onmouseover en JS) pour les utilisateurs du site Twitter.com. D'autres utilisateurs ont eu le droit à des redirections vers des sites pornos comme en témoigne Sophos :

Une autre faille ne nécessitait même aucun survol pour s'auto-propager, il suffisait de consulter sa timeline comme en témoigne Deherve.

Alors que Twitter compte reconquérir ses utilisateurs qui utilisent une application tierce (TweetDeck, Seesmic, etc.) au lieu de Twitter.com c'est plutôt mal engagé. En effet, seule la version web était vulnérable. La faille exploite du code html+javascript non pris en charge par les clients tiers donc non touchés.

Sur son blog, Twitter assure avoir localisé et corrigé la faille quelques heures après cette découverte. Ce genre de faille reste tout à fait dangereuse puisqu'elle peut paralyser complètement le réseau social utilisé quotidiennement par millions de personnes et de sociétés.

On relèvera au passage le titre du billet précédent sur le blog twitter qui était "A Better Twitter"... à méditer.

Via et via

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter