Le site Twitter.com a été victime hier d’une faille de sécurité, exploitée par des hackers. L’incident, sans conséquences, se distingue par son ampleur mondiale… Faut-il craindre d’autres incidents plus graves sur les réseaux sociaux ?
Hier, peu avant midi, le site twitter.com a été victime d’une faille de sécurité de type XSS (Cross-Site Scripting). Un bout de code javascript provenant d’un site malicieux a été placé dans un tweet, comme s’il s’agissait de texte.
Cependant, et c’est là qu’est la faille, ce code a été exécuté par le navigateur des internautes ayant affiché ce tweet, au lieu d’être lu comme du texte. L’internaute qui a découvert la faille a ainsi pu changer la couleur des tweets envoyés, et faire en sorte d’ouvrir une fenêtre pop-up lors du survol d’un lien.
D’autres utilisateurs ont sont allés plus loin, en modifiant le code pour qu’il cause un retweet automatique des tweets « infectés ». C’est ainsi que le « ver » a pu se propager de compte en compte, et affecter un grand nombre d’utilisateurs.
Le problème avait déjà été identifié (et corrigé) le mois dernier, mais une mise à jour de Twitter a fait ressurgir le problème. Cette faille de sécurité a été corrigée en 7 heures par les équipes de Twitter, et l’incident n’a pas eu de conséquences sur les données personnelles des utilisateurs.
Quelles conclusions en tirer ?
L’incident, sans gravité, est toutefois révélateur des nouveaux risques pouvant se développer avec les réseaux sociaux. En effet,les concepteurs du « ver » ont tiré parti de ce qui fait la force de Twitter : le quasi-temps réel. 500 000 personnes auraient été touchées par cet incident, et sa diffusion mondiale a donné une visibilité importante à ce phénomène.
Bien que cette faille soit sans conséquences sur les données personnelles des usagers, on ne peut s’empêcher d’imaginer ce qui arriverait si c’était le cas… Publication des messages privés ? Collecte d’adresses e-mail ? Les informations présentes sur un compte Twitter sont assez limitées, mais qu’arriverait-il si une faille était exploitée sur FaceBook ?
Cet incident met une fois de plus en lumière la lourde responsabilité qu’ont les concepteurs de réseaux sociaux par rapport à la sécurité des informations privées de leurs membres… C’est ce qu’ont compris les concepteurs de Diaspora !
Merci à @oxmopuccino pour l’idée de titre !
C’était une sacrée foire sur Twitter hier en effet !
Pourtant Diaspora ne semble pas être à l’abri des hackers, dès la mise en ligne le 15 septembre, ils ont trouvé de nombreuses failles de sécurité dans le code source.
Source : http://www.itespresso.fr/reseau-social-diaspora-est-surtout-ouvert-failles-securite-36717.html
D’ailleurs, ( aucun rapport avec twitter), les premiers noeuds Diaspora publics sont déja disponibles:
ils ne sont que l’oeuvre de particuliers, aucun lien officiel avec diaspora: http://pontari.us
@Florian (le 1er ;-)) Oui, mais le fait que le code source de Diaspora soit ouvert permet à tout un chacun (enfin presque) de détecter les failles de sécurité, sans attendre que les développeurs de l’équipe ne les trouvent. C’est la force de l’Open Source !
@Grégoire : très juste !
@Grégoire Exact, et c’est d’ailleurs le but de cette pré-alpha.
D’ailleurs les commentaires de l’article cité par Florian ( le 1er 🙂 ) sont, comme bien souvent, plus interessants que l’article en lui-même, et parlent tres bien de ca.
Hack de twitter loiseau mange par un ver.. OMG! 🙂