Twitter est tombé sous le coup d'une attaque XSS hier
Après qu'un adolescent a révélé une faille fragilisant le site
Le 2010-09-22 20:35:17, par Katleen Erna, Expert éminent sénior
Twitter est tombé sous le coup d'une attaque XSS hier, après qu'un adolescent ait révélé une faille fragilisant le site
Si vous avez un compte Twitter, vous avez sans doute remarqué que le service a été extrêmement perturbé hier, mardi, pendant l'après midi.
A partir de 13h30, il était impossible pour la majorité des inscrits au site de tweeter : leurs posts apparaissaient totalement noirs, ou bien déformés avec des lettres énormes et placées de haut en bas. D'autres ne peuvent pas poster du tout et sont redirigés vers des pages d'erreur, quand ils ne se retrouvent pas face à des ouvertures intempestives de pop-ups. Un vrai bazar.
Pire, lorsqu'un utilisateur de la plateforme de micro-blogging se connectait sous son compte, des liens (redirigeant les malheureux cliquant dessus sur des sites pornographiques asiatiques) apparaissaient automatiquement et en grand nombre sur leurs profils, postés automatiquement comme s'ils provenaient de l'utilisateur lui-même.
A l'origine de ce chaos international ? Un bout de code malicieux de 140 signes qui a été diffusé de manière virale (retweeté à outrance), à une vitesse vertigineuse. En quelques heures à peine, des millions d'inscrits étaient touchés. Rappelons que le site compte près de 145 millions d'utilisateurs à travers le monde.
Plus techniquement, le problème a été occasionné par une attaque XSS (cross-site scripting). Ce type d'agression numérique force un site à afficher du code HTML ou des scripts (qui ont été saisis par les utilisateurs) à cause de code injecté dans la page, il peut par exemple afficher un formulaire afin de tromper l'utilisateur et lui faire saisir ses informations d'authentification pour les lui voler.
Heureusement, sur Twitter, l'attaque semble avoir fait plus de peur que de mal. Le site étant en pleine mutation (une nouvelle version est lancée progressivement, mise à jour sur mise à jour).
Un lycéen australien de 17 ans a "revendiqué" être la source de de problème, mais de manière involontaire :
«Au moment de mon tweet, je n’imaginais pas que ça allait décoller comme ça. Je n’y avais même jamais pensé», a-t-il déclaré.
Pearce Delphin, @zzap sur le réseau social, a tweeté un morceau de code JavaScript mouseover qui forçait l'ouverture de fenêtres pop-ups lorsqu’on place son curseur dessus. Voyant cela, des hackers ont découvert la faille mise à jour par l'adolescent, et ils se sont empressés de l'exploiter. Modifiant le code d'origine, ils se sont arrangés pour que les pop-ups s'ouvrent sur des sites pornographiques et que le code malveillant se propage via des tweets viraux.
La plateforme a ainsi été mise à mal pendant plusieurs heures, et les comptes de certaines célébrités ont été atteints (dont Robert Gibbs, porte-parole de la Maison Blanche ou Sarah Brown, épouse de Gordon, ancien premier ministre britannique).
Selon un porte-parole de Twitter, la faille "devrait être très rapidement corrigée".
A noter que seul le site est affecté, la version mobile du réseau de micro-blogging n'a été touchée par aucun incident dans cette affaire.
Source : Le blog de Twitter
Si vous avez un compte Twitter, vous avez sans doute remarqué que le service a été extrêmement perturbé hier, mardi, pendant l'après midi.
A partir de 13h30, il était impossible pour la majorité des inscrits au site de tweeter : leurs posts apparaissaient totalement noirs, ou bien déformés avec des lettres énormes et placées de haut en bas. D'autres ne peuvent pas poster du tout et sont redirigés vers des pages d'erreur, quand ils ne se retrouvent pas face à des ouvertures intempestives de pop-ups. Un vrai bazar.
Pire, lorsqu'un utilisateur de la plateforme de micro-blogging se connectait sous son compte, des liens (redirigeant les malheureux cliquant dessus sur des sites pornographiques asiatiques) apparaissaient automatiquement et en grand nombre sur leurs profils, postés automatiquement comme s'ils provenaient de l'utilisateur lui-même.
A l'origine de ce chaos international ? Un bout de code malicieux de 140 signes qui a été diffusé de manière virale (retweeté à outrance), à une vitesse vertigineuse. En quelques heures à peine, des millions d'inscrits étaient touchés. Rappelons que le site compte près de 145 millions d'utilisateurs à travers le monde.
Plus techniquement, le problème a été occasionné par une attaque XSS (cross-site scripting). Ce type d'agression numérique force un site à afficher du code HTML ou des scripts (qui ont été saisis par les utilisateurs) à cause de code injecté dans la page, il peut par exemple afficher un formulaire afin de tromper l'utilisateur et lui faire saisir ses informations d'authentification pour les lui voler.
Heureusement, sur Twitter, l'attaque semble avoir fait plus de peur que de mal. Le site étant en pleine mutation (une nouvelle version est lancée progressivement, mise à jour sur mise à jour).
Un lycéen australien de 17 ans a "revendiqué" être la source de de problème, mais de manière involontaire :
«Au moment de mon tweet, je n’imaginais pas que ça allait décoller comme ça. Je n’y avais même jamais pensé», a-t-il déclaré.
Pearce Delphin, @zzap sur le réseau social, a tweeté un morceau de code JavaScript mouseover qui forçait l'ouverture de fenêtres pop-ups lorsqu’on place son curseur dessus. Voyant cela, des hackers ont découvert la faille mise à jour par l'adolescent, et ils se sont empressés de l'exploiter. Modifiant le code d'origine, ils se sont arrangés pour que les pop-ups s'ouvrent sur des sites pornographiques et que le code malveillant se propage via des tweets viraux.
La plateforme a ainsi été mise à mal pendant plusieurs heures, et les comptes de certaines célébrités ont été atteints (dont Robert Gibbs, porte-parole de la Maison Blanche ou Sarah Brown, épouse de Gordon, ancien premier ministre britannique).
Selon un porte-parole de Twitter, la faille "devrait être très rapidement corrigée".
A noter que seul le site est affecté, la version mobile du réseau de micro-blogging n'a été touchée par aucun incident dans cette affaire.
Source : Le blog de Twitter
-
GCSX_Membre confirméCe problème ne montre-t-il pas que tous les sites sur lesquelles on peut saisir du JavaScript (qui reçu en tant que tel par les navigateurs, évidemment) sont vulnérables?
N'importe quel site où l'on peut saisir du JavaScript qui est ensuite envoyé comme tel (donc pas converti en texte brut) au navigateur client (qui va donc l'exécuter) peut servir de plateforme pour répendre des virus non?le 22/09/2010 à 22:20 -
jayfazeMembre actifOui, mais twitter permettait de saisir du javascript de base ?Ce problème ne montre-t-il pas que tous les sites sur lesquelles on peut saisir du JavaScript (qui reçu en tant que tel par les navigateurs, évidemment) sont vulnérables?
N'importe quel site où l'on peut saisir du JavaScript qui est ensuite envoyé comme tel (donc pas converti en texte brut) au navigateur client (qui va donc l'exécuter) peut servir de plateforme pour répendre des virus non?le 22/09/2010 à 22:34 -
bonanoMembre actifCe n'est pas un peu trop là....Si comme c'est vraiment l'adolescent à decouvert un truc qui n'a jamais existait et que pour les hackers c'est une nouvelle façon d'attaquer....les hackers devrait remercie l'ado alors!!!!le 23/09/2010 à 9:44
-
kapokNouveau membre du Clubcomme quoi même les géants font des erreurs de débutant (ne pas filtrer les messages envoyés par les utilisateurs)
Bizarre quand même, les failles XSS sont assz facilement contrables.le 23/09/2010 à 12:00 -
elentarionMembre du ClubEn fait, j'ai plutôt l'impression que les développeurs de Twitter ont oubliés les tests de régression car cette faille avais déjà été corrigée.le 23/09/2010 à 16:14
-
air-dexMembre expertDepuis août 2009, Twitter a été victime d'une attaque par DoS (août 2009), un détournement DNS (mi-décembre 2009) et maintenant d'une attaque XSS. Visiblement la sécurité est de mise sur ce site !le 23/09/2010 à 18:03
-
adivinenzaMembre habitué
Franchement, j'aurais pas pensé que ca marcherait de mettre du JS dans twitter, on se dit tous que ca été bloqué par les developpeurs, Beh chapeau quand meme au garçon, il a de l'avenir ... le 23/09/2010 à 23:13 -
H.PascalMembre régulierCe genre de personnes sont complètement débiles, je suis désolé.
Franchement quel est l'intêret de foutre un tel bordel sur un site, à la rigueur mettre un pop-up, ou faire un simple alert avec twitter hacked par exemple, c'est tout. Et pour les pops-up qui amenaient à des sites pornographiques,
là non plus, ils ne pensent pas qu'il y a peut être des gosses sur twitter, ils devraient quand même réfléchir à deux fois avant de coder, bref.
Les personnes qui trouves ces failles devraient contacter le plus tôt possible la société concernée, pour éviter ça je pense qu'ils seraient plus respectés et pris au sérieux.
Parce que là en faisant cela ils ont plutôt l'air de ressembler à des psychopates devant leur PC et donne encore une fois une mauvaise image du hacking.
Sinon malin quand même pour le gars d'avoir trouvé la faille.le 24/09/2010 à 9:00 -
simonloursonMembre actifL'intérêt est tout simplement monétaire. Les sites pornographiques en question payent (évidemment) les hackers pour avoir leur popup sous tweeter...le 24/09/2010 à 10:46
-
ProgValMembre éclairéCe n'est pas le terme approprié, je pense.Voyant cela, des hackers ont découvert la faille mise à jour par l'adolescent, et ils se sont empressés de l'exploiter.le 29/09/2010 à 8:39