Sécurité IT : une faille XSS sème la pagaille sur TweetDeck

Clément Bohic,
Cloud
tweetdeck-xss

Le service de gestion multicompte rattaché à Twitter a été temporairement désactivé ce mercredi à l’initiative de la plate-forme de micro-blogging, qui y a détecté une vulnérabilité de type cross-site scripting.

Messages indésirables, retweets involontaires, serveur inaccessible : TweetDeck a connu une soirée mouvementée ce mercredi.

Cette agitation était liée à une faille de type cross-site scripting (XSS) affectant la version Web du service ainsi que son extension Google Chrome. Des tiers l’ont exploitée pour injecter, à distance, du code JavaScript dans le navigateur Web des utilisateurs. Ce qui se traduisait notamment par l’affichage de pop-up, dont certaines transmettant un message explicite : « Please close now TweetDeck [sic], it is not safe », que l’on peut traduire par « Veuillez quitter TweetDeck. Son usage n’est pas sécurisé ».

La vulnérabilité en question est aussi à l’origine de nombreuses chaînes de retweets qui ont touché des comptes comme celui du New York Times (@NYTimesBusiness) et celui du collectif hacktiviste Anonymous (@YourAnonNews). Les premiers signaux sont remontés en fin d’après-midi. Il était environ 18h30 à Paris quand Twitter, propriétaire de TweetDeck (racheté en 2011 pour environ 20 millions de dollars), a invité les utilisateurs à se déconnecter de leur compte… puis à se reconnecter.

Une démarche qui n’a pas suffi à résoudre le problème. Entretemps, les témoignages de certains twittos ont même laissé suggérer que le bug concernait aussi les applications desktop – Windows et OS X – de TweetDeck. Vers 19 heures, Twitter a décidé de fermer temporairement le service. Lequel a été finalement été rétabli peu avant 20 heures, sans plus d’explication. On ignore dans quelle mesure la faille a pu être exploitée pour dérober des données personnelles.

tweetdeck-desactive

Comme le note The Verge, la structure du client TweetDeck est telle que l’élévation de privilèges est impossible. Il est donc plus difficile pour des pirates de s’ouvrir l’accès à des informations confidentielles. TweetDeck avait déjà été victime d’une faille de type XSS en 2011. A l’époque, les développeurs avaient rapidement résolu le problème. L’année suivante, c’était au tour de Twitter de subir le contrecoup du cross-site scripting : 39 000 comptes utilisateurs piratés via une faille de sécurité dans une interface de programmation logicielle en lien avec la plate-forme de micro-blogging.

tweetdeck-retabli

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de Twitter ?

Crédit photo : Maksim Kabakou – Shutterstock.com

Lire aussi :

ProtonMail : alerte aux failles dans la messagerie « anti-NSA »

Imperva : l’automatisation des attaques affole les compteurs

Clément Bohic
Auteur : Clément Bohic
Lire la biographie de l´auteur  Masquer la biographie de l´auteur