Twitter : le client TweetDeck victime d'une vulnérabilité XSS

Le client TweetDeck a connu quelques ratés mercredi en raison d'une vulnérabilité de type cross-site scripting (XSS). Il a momentanément été désactivé par Twitter.

Depuis mercredi après-midi, un certain nombre d'utilisateurs du client TweetDeck ont retweeté des messages sans s'en rendre compte, quand ils n'ont pas posté à leur insu des messages à caractère pseudo-humoristiques. Cause de ces actions non sollicitées ? Une vulnérabilité de type cross-site scripting (XSS) affectant certaines versions de TweetDeck.

Lorsqu'un message contenant du code JavaScript est posté sur Twitter, celui-ci apparaît normalement comme du texte et n'entraîne aucune action particulière au niveau du navigateur ou du client logiciel de l'internaute. Ici, certaines versions de TweetDeck (l'extension dédiée au navigateur Chrome serait notamment incriminée) interprètent le code au lieu de simplement l'afficher, et déclenchent ainsi sans attendre une action : retweet ou publication d'un message dans les cas constatés.

Twitter (propriétaire de TweetDeck) a rapidement reconnu l'existence d'un problème. Dans un premier temps, la firme a conseillé aux utilisateurs de simplement se déconnecter puis se reconnecter à leur compte, mais la manoeuvre ne s'est pas révélée suffisante pour les internautes concernés.


Trente minutes plus tard, le réseau social a finalement indiqué qu'il suspendait son client le temps de bloquer ce comportement non sollicité.


On ne sait pas encore dans quelle mesure l'exploitation de cette vulnérabilité peut permettre l'accès à des données personnelles (adresse email du compte par exemple) mais ne serait-ce que pour éviter de reproduire à leur insu des messages non désirés, les adeptes de TweetDeck ont tout intérêt à se déconnecter du client.

Mise à jour : peu avant 20 heures, Twitter a annoncé le rétablissement du service.