Attaque de spam sur Twitter, victime d'une faille de sécurité

D'étonnants messages en forme de bandeau noir ont fleuri mardi midi sur le réseau social Twitter. Les curieux qui, identifiés auprès du service, survoleront ce bandeau auront alors la surprise de voir qu'un message est posté, sans action particulière de leur part, sur leur propre compte.

Ce message, qui est en réalité un pan de code JavaScript contenu en 140 caractères, assure une rapide propagation de ce spam d'un nouveau genre, au sein duquel on découvre le plus souvent un lien renvoyant vers un site pornographique.


Cette attaque, qui a permis la rapide propagation de messages de spam (parfois détournés par des internautes facétieux), semble relever d'un mode opératoire bien connu sur Internet : le XSS, ou cross-site scripting, qui consiste à profiter d'un champ de formulaire pour diffuser un code qui sera ensuite interprété sur la page cible si cette dernière n'est pas suffisamment sécurisée.

Voici un exemple du code utilisé :

http://t.co/@"onmouseover="document.getElementById('status').value='RT onesque';$('.status-update-form').submit();"font-size:500pt;/

Très rapidement, le code initial est repris et détourné par d'autres utilisateurs, ce qui fait varier la nature de l'attaque. Vers 14h40, sur notre compte atteint par la première vague d'attaques, nous avons par exemple découvert qu'un lien dissimulé dans le haut de la page provoquait la reprise sur notre propre compte du dernier message (dit retweet) affiché par le service.


La source exacte de l'attaque n'a pour l'instant pas été identifiée. Il n'est toutefois pas impossible qu'elle réside au niveau du raccourcisseur d'URL utilisé par Twitter, qui se charge de convertir les longues adresses Web en courtes séquences de caractère associées au domaine t.co.

En attendant que la vulnérabilité soit comblée, il est donc conseillé de ne pas utiliser la version Web de Twitter. Les clients logiciels qui interagissent avec le service ne semblent pas affectés par le problème.