Attaque de spam sur Twitter, victime d'une faille de sécurité

Alexandre Laurent
Publié le 21 septembre 2010 à 14h42
D'étonnants messages en forme de bandeau noir ont fleuri mardi midi sur le réseau social Twitter. Les curieux qui, identifiés auprès du service, survoleront ce bandeau auront alors la surprise de voir qu'un message est posté, sans action particulière de leur part, sur leur propre compte.

Ce message, qui est en réalité un pan de code JavaScript contenu en 140 caractères, assure une rapide propagation de ce spam d'un nouveau genre, au sein duquel on découvre le plus souvent un lien renvoyant vers un site pornographique.

03571286-photo-spam-twitter-xss.jpg

Cette attaque, qui a permis la rapide propagation de messages de spam (parfois détournés par des internautes facétieux), semble relever d'un mode opératoire bien connu sur Internet : le XSS, ou cross-site scripting, qui consiste à profiter d'un champ de formulaire pour diffuser un code qui sera ensuite interprété sur la page cible si cette dernière n'est pas suffisamment sécurisée.

Voici un exemple du code utilisé :

http://t.co/@"onmouseover="document.getElementById('status').value='RT onesque';$('.status-update-form').submit();"font-size:500pt;/

Très rapidement, le code initial est repris et détourné par d'autres utilisateurs, ce qui fait varier la nature de l'attaque. Vers 14h40, sur notre compte atteint par la première vague d'attaques, nous avons par exemple découvert qu'un lien dissimulé dans le haut de la page provoquait la reprise sur notre propre compte du dernier message (dit retweet) affiché par le service.

01CC000003571330-photo-spam-twitter-xss.jpg

La source exacte de l'attaque n'a pour l'instant pas été identifiée. Il n'est toutefois pas impossible qu'elle réside au niveau du raccourcisseur d'URL utilisé par Twitter, qui se charge de convertir les longues adresses Web en courtes séquences de caractère associées au domaine t.co.

En attendant que la vulnérabilité soit comblée, il est donc conseillé de ne pas utiliser la version Web de Twitter. Les clients logiciels qui interagissent avec le service ne semblent pas affectés par le problème.
Alexandre Laurent
Par Alexandre Laurent

Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech, que ça concerne le grand public, l'entreprise, l'informatique ou Internet. Milite pour la réhabilitation de Après que + indicatif à l'écrit comme à l'oral, grand amateur de loutres devant l'éternel, littéraire pour cause de vocation scientifique contrariée, fan de RTS qui le lui rendent bien mal.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles