Twitter est tombé sous le coup d'une attaque XSS hier
Après qu'un adolescent a révélé une faille fragilisant le site

Le , par Katleen Erna, Expert éminent sénior
Twitter est tombé sous le coup d'une attaque XSS hier, après qu'un adolescent ait révélé une faille fragilisant le site

Si vous avez un compte Twitter, vous avez sans doute remarqué que le service a été extrêmement perturbé hier, mardi, pendant l'après midi.

A partir de 13h30, il était impossible pour la majorité des inscrits au site de tweeter : leurs posts apparaissaient totalement noirs, ou bien déformés avec des lettres énormes et placées de haut en bas. D'autres ne peuvent pas poster du tout et sont redirigés vers des pages d'erreur, quand ils ne se retrouvent pas face à des ouvertures intempestives de pop-ups. Un vrai bazar.

Pire, lorsqu'un utilisateur de la plateforme de micro-blogging se connectait sous son compte, des liens (redirigeant les malheureux cliquant dessus sur des sites pornographiques asiatiques) apparaissaient automatiquement et en grand nombre sur leurs profils, postés automatiquement comme s'ils provenaient de l'utilisateur lui-même.

A l'origine de ce chaos international ? Un bout de code malicieux de 140 signes qui a été diffusé de manière virale (retweeté à outrance), à une vitesse vertigineuse. En quelques heures à peine, des millions d'inscrits étaient touchés. Rappelons que le site compte près de 145 millions d'utilisateurs à travers le monde.

Plus techniquement, le problème a été occasionné par une attaque XSS (cross-site scripting). Ce type d'agression numérique force un site à afficher du code HTML ou des scripts (qui ont été saisis par les utilisateurs) à cause de code injecté dans la page, il peut par exemple afficher un formulaire afin de tromper l'utilisateur et lui faire saisir ses informations d'authentification pour les lui voler.

Heureusement, sur Twitter, l'attaque semble avoir fait plus de peur que de mal. Le site étant en pleine mutation (une nouvelle version est lancée progressivement, mise à jour sur mise à jour).

Un lycéen australien de 17 ans a "revendiqué" être la source de de problème, mais de manière involontaire :
«Au moment de mon tweet, je n’imaginais pas que ça allait décoller comme ça. Je n’y avais même jamais pensé», a-t-il déclaré.

Pearce Delphin, @zzap sur le réseau social, a tweeté un morceau de code JavaScript mouseover qui forçait l'ouverture de fenêtres pop-ups lorsqu’on place son curseur dessus. Voyant cela, des hackers ont découvert la faille mise à jour par l'adolescent, et ils se sont empressés de l'exploiter. Modifiant le code d'origine, ils se sont arrangés pour que les pop-ups s'ouvrent sur des sites pornographiques et que le code malveillant se propage via des tweets viraux.

La plateforme a ainsi été mise à mal pendant plusieurs heures, et les comptes de certaines célébrités ont été atteints (dont Robert Gibbs, porte-parole de la Maison Blanche ou Sarah Brown, épouse de Gordon, ancien premier ministre britannique).

Selon un porte-parole de Twitter, la faille "devrait être très rapidement corrigée".

A noter que seul le site est affecté, la version mobile du réseau de micro-blogging n'a été touchée par aucun incident dans cette affaire.

Source : Le blog de Twitter


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de GCSX_ GCSX_ - Membre confirmé https://www.developpez.com
le 22/09/2010 à 22:20
Ce problème ne montre-t-il pas que tous les sites sur lesquelles on peut saisir du JavaScript (qui reçu en tant que tel par les navigateurs, évidemment) sont vulnérables?

N'importe quel site où l'on peut saisir du JavaScript qui est ensuite envoyé comme tel (donc pas converti en texte brut) au navigateur client (qui va donc l'exécuter) peut servir de plateforme pour répendre des virus non?
Avatar de jayfaze jayfaze - Membre actif https://www.developpez.com
le 22/09/2010 à 22:34
Ce problème ne montre-t-il pas que tous les sites sur lesquelles on peut saisir du JavaScript (qui reçu en tant que tel par les navigateurs, évidemment) sont vulnérables?

N'importe quel site où l'on peut saisir du JavaScript qui est ensuite envoyé comme tel (donc pas converti en texte brut) au navigateur client (qui va donc l'exécuter) peut servir de plateforme pour répendre des virus non?

Oui, mais twitter permettait de saisir du javascript de base ?
Avatar de bonano bonano - Membre actif https://www.developpez.com
le 23/09/2010 à 9:44
Ce n'est pas un peu trop là....Si comme c'est vraiment l'adolescent à decouvert un truc qui n'a jamais existait et que pour les hackers c'est une nouvelle façon d'attaquer....les hackers devrait remercie l'ado alors!!!!
Avatar de kapok kapok - Nouveau membre du Club https://www.developpez.com
le 23/09/2010 à 12:00
comme quoi même les géants font des erreurs de débutant (ne pas filtrer les messages envoyés par les utilisateurs)

Bizarre quand même, les failles XSS sont assz facilement contrables.
Avatar de elentarion elentarion - Nouveau membre du Club https://www.developpez.com
le 23/09/2010 à 16:14
En fait, j'ai plutôt l'impression que les développeurs de Twitter ont oubliés les tests de régression car cette faille avais déjà été corrigée.
Avatar de air-dex air-dex - Membre émérite https://www.developpez.com
le 23/09/2010 à 18:03
Depuis août 2009, Twitter a été victime d'une attaque par DoS (août 2009), un détournement DNS (mi-décembre 2009) et maintenant d'une attaque XSS. Visiblement la sécurité est de mise sur ce site !
Avatar de adivinenza adivinenza - Membre régulier https://www.developpez.com
le 23/09/2010 à 23:13
Franchement, j'aurais pas pensé que ca marcherait de mettre du JS dans twitter, on se dit tous que ca été bloqué par les developpeurs, Beh chapeau quand meme au garçon, il a de l'avenir ...
Avatar de H.Pascal H.Pascal - Membre régulier https://www.developpez.com
le 24/09/2010 à 9:00
Ce genre de personnes sont complètement débiles, je suis désolé.
Franchement quel est l'intêret de foutre un tel bordel sur un site, à la rigueur mettre un pop-up, ou faire un simple alert avec twitter hacked par exemple, c'est tout. Et pour les pops-up qui amenaient à des sites pornographiques,
là non plus, ils ne pensent pas qu'il y a peut être des gosses sur twitter, ils devraient quand même réfléchir à deux fois avant de coder, bref.
Les personnes qui trouves ces failles devraient contacter le plus tôt possible la société concernée, pour éviter ça je pense qu'ils seraient plus respectés et pris au sérieux.
Parce que là en faisant cela ils ont plutôt l'air de ressembler à des psychopates devant leur PC et donne encore une fois une mauvaise image du hacking.
Sinon malin quand même pour le gars d'avoir trouvé la faille.
Avatar de simonlourson simonlourson - Membre habitué https://www.developpez.com
le 24/09/2010 à 10:46
Citation Envoyé par H.Pascal  Voir le message
Ce genre de personnes sont complètement débiles, je suis désolé.
Franchement quel est l'intêret de foutre un tel bordel sur un site, à la rigueur mettre un pop-up, ou faire un simple alert avec twitter hacked par exemple, c'est tout. Et pour les pops-up qui amenaient à des sites pornographiques,
là non plus, ils ne pensent pas qu'il y a peut être des gosses sur twitter, ils devraient quand même réfléchir à deux fois avant de coder, bref.
Les personnes qui trouves ces failles devraient contacter le plus tôt possible la société concernée, pour éviter ça je pense qu'ils seraient plus respectés et pris au sérieux.
Parce que là en faisant cela ils ont plutôt l'air de ressembler à des psychopates devant leur PC et donne encore une fois une mauvaise image du hacking.
Sinon malin quand même pour le gars d'avoir trouvé la faille.

L'intérêt est tout simplement monétaire. Les sites pornographiques en question payent (évidemment) les hackers pour avoir leur popup sous tweeter...
Avatar de ProgVal ProgVal - Membre éclairé https://www.developpez.com
le 29/09/2010 à 8:39
Voyant cela, des hackers ont découvert la faille mise à jour par l'adolescent, et ils se sont empressés de l'exploiter.

Ce n'est pas le terme approprié, je pense.
Offres d'emploi IT
Responsable protection des données H/F
Safran - Ile de France - Magny-les-Hameaux (78114)
Data scientist senior H/F
Safran - Ile de France - Magny-les-Hameaux (Saclay)
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil