Attaque de spam sur Twitter, victime d'une faille de sécurité

21 septembre 2010 à 14h42
0
D'étonnants messages en forme de bandeau noir ont fleuri mardi midi sur le réseau social Twitter. Les curieux qui, identifiés auprès du service, survoleront ce bandeau auront alors la surprise de voir qu'un message est posté, sans action particulière de leur part, sur leur propre compte.

Ce message, qui est en réalité un pan de code JavaScript contenu en 140 caractères, assure une rapide propagation de ce spam d'un nouveau genre, au sein duquel on découvre le plus souvent un lien renvoyant vers un site pornographique.

03571286-photo-spam-twitter-xss.jpg

Cette attaque, qui a permis la rapide propagation de messages de spam (parfois détournés par des internautes facétieux), semble relever d'un mode opératoire bien connu sur Internet : le XSS, ou cross-site scripting, qui consiste à profiter d'un champ de formulaire pour diffuser un code qui sera ensuite interprété sur la page cible si cette dernière n'est pas suffisamment sécurisée.

Voici un exemple du code utilisé :

http://t.co/@"onmouseover="document.getElementById('status').value='RT onesque';$('.status-update-form').submit();"font-size:500pt;/

Très rapidement, le code initial est repris et détourné par d'autres utilisateurs, ce qui fait varier la nature de l'attaque. Vers 14h40, sur notre compte atteint par la première vague d'attaques, nous avons par exemple découvert qu'un lien dissimulé dans le haut de la page provoquait la reprise sur notre propre compte du dernier message (dit retweet) affiché par le service.

01CC000003571330-photo-spam-twitter-xss.jpg

La source exacte de l'attaque n'a pour l'instant pas été identifiée. Il n'est toutefois pas impossible qu'elle réside au niveau du raccourcisseur d'URL utilisé par Twitter, qui se charge de convertir les longues adresses Web en courtes séquences de caractère associées au domaine t.co.

En attendant que la vulnérabilité soit comblée, il est donc conseillé de ne pas utiliser la version Web de Twitter. Les clients logiciels qui interagissent avec le service ne semblent pas affectés par le problème.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Apple comble une faille de sécurité
Photoshop Elements et Premiere Elements 9 disponibles pour Windows et Mac !
Le Parlement européen s'apprête à voter le rapport Gallo
Canonical planche sur un OS plus intelligent
Base de données accélérée par le GPU : ParStream
Tablette Blackberry : le SurfBook ?
Private Outlet : 4,9 millions d'euros pour venir déranger Showroomprivé
Seagate annonce un disque dur externe portable de 1,5 To avec USB 3.0 dans sa gamme FreeAgent
PS3 : Sony cherche à esquiver les poursuites des Linuxiens mécontents
Bing : future version en HTML5 optimisée pour IE9
Haut de page