Twitter est tombé sous le coup d'une attaque XSS hier

Après qu'un adolescent a révélé une faille fragilisant le site

Twitter est tombé sous le coup d'une attaque XSS hier, après qu'un adolescent ait révélé une faille fragilisant le site

Si vous avez un compte Twitter, vous avez sans doute remarqué que le service a été extrêmement perturbé hier, mardi, pendant l'après midi.

A partir de 13h30, il était impossible pour la majorité des inscrits au site de tweeter : leurs posts apparaissaient totalement noirs, ou bien déformés avec des lettres énormes et placées de haut en bas. D'autres ne peuvent pas poster du tout et sont redirigés vers des pages d'erreur, quand ils ne se retrouvent pas face à des ouvertures intempestives de pop-ups. Un vrai bazar.

Pire, lorsqu'un utilisateur de la plateforme de micro-blogging se connectait sous son compte, des liens (redirigeant les malheureux cliquant dessus sur des sites pornographiques asiatiques) apparaissaient automatiquement et en grand nombre sur leurs profils, postés automatiquement comme s'ils provenaient de l'utilisateur lui-même.

A l'origine de ce chaos international ? Un bout de code malicieux de 140 signes qui a été diffusé de manière virale (retweeté à outrance), à une vitesse vertigineuse. En quelques heures à peine, des millions d'inscrits étaient touchés. Rappelons que le site compte près de 145 millions d'utilisateurs à travers le monde.

Plus techniquement, le problème a été occasionné par une attaque XSS (cross-site scripting). Ce type d'agression numérique force un site à afficher du code HTML ou des scripts (qui ont été saisis par les utilisateurs) à cause de code injecté dans la page, il peut par exemple afficher un formulaire afin de tromper l'utilisateur et lui faire saisir ses informations d'authentification pour les lui voler.

Heureusement, sur Twitter, l'attaque semble avoir fait plus de peur que de mal. Le site étant en pleine mutation (une nouvelle version est lancée progressivement, mise à jour sur mise à jour).

Un lycéen australien de 17 ans a "revendiqué" être la source de de problème, mais de manière involontaire :
«Au moment de mon tweet, je n’imaginais pas que ça allait décoller comme ça. Je n’y avais même jamais pensé», a-t-il déclaré.

Pearce Delphin, @zzap sur le réseau social, a tweeté un morceau de code JavaScript mouseover qui forçait l'ouverture de fenêtres pop-ups lorsqu’on place son curseur dessus. Voyant cela, des hackers ont découvert la faille mise à jour par l'adolescent, et ils se sont empressés de l'exploiter. Modifiant le code d'origine, ils se sont arrangés pour que les pop-ups s'ouvrent sur des sites pornographiques et que le code malveillant se propage via des tweets viraux.

La plateforme a ainsi été mise à mal pendant plusieurs heures, et les comptes de certaines célébrités ont été atteints (dont Robert Gibbs, porte-parole de la Maison Blanche ou Sarah Brown, épouse de Gordon, ancien premier ministre britannique).

Selon un porte-parole de Twitter, la faille "devrait être très rapidement corrigée".

A noter que seul le site est affecté, la version mobile du réseau de micro-blogging n'a été touchée par aucun incident dans cette affaire.

Source : Le blog de Twitter