La faille XSS qui a affecté le réseau de micro-blogging Twitter avait été corrigée le mois dernier. C’est une mise à jour récente du site qui a réactivé par erreur cette vulnérabilité. Au total, près de 500 000 utilisateurs ont été touchés par la diffusion de messages vérolés.

Les utilisateurs de Twitter ont eu une drôle de surprise hier, en se connectant sur le site web du service. En effet, une faille XSS (Cross Site Scripting) a été exploitée par quelques utilisateurs pour forcer la diffusion massive de messages vérolés sur le réseau de micro-blogging. Au total, près de 500 000 utilisateurs auraient été affectés par cette vulnérabilité.

Dans une note publiée sur le blog officiel de Twitter, l’un des membres de l’équipe de sécurité du service de micro-blogging est revenu sur cet incident en apportant quelques explications. Cette faille avait été découverte et corrigée le mois dernier par l’équipe de développement. Cependant, une mise à jour récente – indépendante de la nouvelle version de Twitter – l’a réouverte par inadvertance.

« Cet exploit a uniquement affecté Twitter.com et n’a pas eu d’impact sur notre site web mobile ou sur nos applications dédiées » a-t-il tenu à souligner. Les solutions alternatives comme Seesmic, Echofon ou Tweetdeck n’ont pas non plus été touchées par cette vulnérabilité. « Il n’y a pas besoin de changer les mots de passe parce que les informations du compte n’ont pas été compromises à travers cette faille » a-t-il souligné.

Rappelons que la faille a été exploitée par un code JavaScript. Interprété par le navigateur, il s’est servi de l’évènement OnMouseOver pour se re-publier (« retweet ») au fur et à mesure dans le flux des utilisateurs. L’évènement OnMouseOver survient lorsque le curseur survole l’élément en question. Plus tard dans la journée, une version « évoluée » du code est même apparue. Celle-ci parvenait à se diffuser sans même être survolée.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !