Messages indésirables, retweets involontaires, serveur inaccessible : TweetDeck a connu une soirée mouvementée ce mercredi.
Cette agitation était liée à une faille de type cross-site scripting (XSS) affectant la version Web du service ainsi que son extension Google Chrome. Des tiers l’ont exploitée pour injecter, à distance, du code JavaScript dans le navigateur Web des utilisateurs. Ce qui se traduisait notamment par l’affichage de pop-up, dont certaines transmettant un message explicite : « Please close now TweetDeck [sic], it is not safe », que l’on peut traduire par « Veuillez quitter TweetDeck. Son usage n’est pas sécurisé ».
La vulnérabilité en question est aussi à l’origine de nombreuses chaînes de retweets qui ont touché des comptes comme celui du New York Times (@NYTimesBusiness) et celui du collectif hacktiviste Anonymous (@YourAnonNews). Les premiers signaux sont remontés en fin d’après-midi. Il était environ 18h30 à Paris quand Twitter, propriétaire de TweetDeck (racheté en 2011 pour environ 20 millions de dollars), a invité les utilisateurs à se déconnecter de leur compte… puis à se reconnecter.
Une démarche qui n’a pas suffi à résoudre le problème. Entretemps, les témoignages de certains twittos ont même laissé suggérer que le bug concernait aussi les applications desktop – Windows et OS X – de TweetDeck. Vers 19 heures, Twitter a décidé de fermer temporairement le service. Lequel a été finalement été rétabli peu avant 20 heures, sans plus d’explication. On ignore dans quelle mesure la faille a pu être exploitée pour dérober des données personnelles.
Comme le note The Verge, la structure du client TweetDeck est telle que l’élévation de privilèges est impossible. Il est donc plus difficile pour des pirates de s’ouvrir l’accès à des informations confidentielles. TweetDeck avait déjà été victime d’une faille de type XSS en 2011. A l’époque, les développeurs avaient rapidement résolu le problème. L’année suivante, c’était au tour de Twitter de subir le contrecoup du cross-site scripting : 39 000 comptes utilisateurs piratés via une faille de sécurité dans une interface de programmation logicielle en lien avec la plate-forme de micro-blogging.
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de Twitter ?
Crédit photo : Maksim Kabakou – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…