Twitter a été victime hier d'une faille de sécurité XSS importante, faille qui avait été corrigée il y a un mois. C'est une mise à jour récente du site qui a réactivé par erreur cette vulnérabilité. Au total, près de 500.000 utilisateurs ont été touchés par la diffusion de messages vérolés.
Les utilisateurs de Twitter ont eu une drôle de surprise hier, en se connectant sur le site web du service. En effet, une faille XSS (Cross Site Scripting) a été exploitée par quelques utilisateurs pour forcer la diffusion massive de messages vérolés sur le réseau de micro-blogging. Au total, près de 500.000 utilisateurs auraient été affectés par cette vulnérabilité.
Dans une note publiée sur le blog officiel de Twitter, l'un des membres de l'équipe de sécurité du service de micro-blogging est revenu sur cet incident en apportant quelques explications. Cette faille avait été découverte et corrigée le mois dernier par l'équipe de développement. Cependant, une mise à jour récente - indépendante de la nouvelle version de Twitter - l'a réouverte par inadvertance.
« Cet exploit a uniquement affecté Twitter.com et n'a pas eu d'impact sur notre site web mobile ou sur nos applications dédiées » a-t-il tenu à souligner. Les solutions alternatives comme Seesmic, Echofon ou Tweetdeck n'ont pas non plus été touchées par cette vulnérabilité. « Il n'y a pas besoin de changer les mots de passe parce que les informations du compte n'ont pas été compromises à travers cette faille » a-t-il souligné.
La faille a été exploitée par un code JavaScript. Interprété par le navigateur, il s'est servi de l'événement OnMouseOver pour se re-publier (retweet) au fur et à mesure dans le flux des utilisateurs. L'événement OnMouseOver survient lorsque le curseur survole l'élément en question. Plus tard dans la journée, une version pus sophistiquée du code est même apparue : celle-ci parvenait à se diffuser sans même être survolée.