Le site Twitter.com a été victime hier d’une faille de sécurité, exploitée par des hackers. L’incident, sans conséquences, se distingue par son ampleur mondiale… Faut-il craindre d’autres incidents plus graves sur les réseaux sociaux ?
Hier, peu avant midi, le site twitter.com a été victime d’une faille de sécurité de type XSS (Cross-Site Scripting). Un bout de code javascript provenant d’un site malicieux a été placé dans un tweet, comme s’il s’agissait de texte.
Cependant, et c’est là qu’est la faille, ce code a été exécuté par le navigateur des internautes ayant affiché ce tweet, au lieu d’être lu comme du texte. L’internaute qui a découvert la faille a ainsi pu changer la couleur des tweets envoyés, et faire en sorte d’ouvrir une fenêtre pop-up lors du survol d’un lien.
D’autres utilisateurs ont sont allés plus loin, en modifiant le code pour qu’il cause un retweet automatique des tweets “infectés”. C’est ainsi que le “ver” a pu se propager de compte en compte, et affecter un grand nombre d’utilisateurs.
Le problème avait déjà été identifié (et corrigé) le mois dernier, mais une mise à jour de Twitter a fait ressurgir le problème. Cette faille de sécurité a été corrigée en 7 heures par les équipes de Twitter, et l’incident n’a pas eu de conséquences sur les données personnelles des utilisateurs.
Quelles conclusions en tirer ?
L’incident, sans gravité, est toutefois révélateur des nouveaux risques pouvant se développer avec les réseaux sociaux. En effet,les concepteurs du “ver” ont tiré parti de ce qui fait la force de Twitter : le quasi-temps réel. 500 000 personnes auraient été touchées par cet incident, et sa diffusion mondiale a donné une visibilité importante à ce phénomène.
Bien que cette faille soit sans conséquences sur les données personnelles des usagers, on ne peut s’empêcher d’imaginer ce qui arriverait si c’était le cas… Publication des messages privés ? Collecte d’adresses e-mail ? Les informations présentes sur un compte Twitter sont assez limitées, mais qu’arriverait-il si une faille était exploitée sur FaceBook ?
Cet incident met une fois de plus en lumière la lourde responsabilité qu’ont les concepteurs de réseaux sociaux par rapport à la sécurité des informations privées de leurs membres… C’est ce qu’ont compris les concepteurs de Diaspora !
Merci à @oxmopuccino pour l’idée de titre !
C’était une sacrée foire sur Twitter hier en effet !
Pourtant Diaspora ne semble pas être à l’abri des hackers, dès la mise en ligne le 15 septembre, ils ont trouvé de nombreuses failles de sécurité dans le code source.
Source : http://www.itespresso.fr/reseau-social-diaspora-est-surtout-ouvert-failles-securite-36717.html
D’ailleurs, ( aucun rapport avec twitter), les premiers noeuds Diaspora publics sont déja disponibles:
ils ne sont que l’oeuvre de particuliers, aucun lien officiel avec diaspora: http://pontari.us
@Florian (le 1er ;-)) Oui, mais le fait que le code source de Diaspora soit ouvert permet à tout un chacun (enfin presque) de détecter les failles de sécurité, sans attendre que les développeurs de l’équipe ne les trouvent. C’est la force de l’Open Source !
@Grégoire : très juste !
@Grégoire Exact, et c’est d’ailleurs le but de cette pré-alpha.
D’ailleurs les commentaires de l’article cité par Florian ( le 1er 🙂 ) sont, comme bien souvent, plus interessants que l’article en lui-même, et parlent tres bien de ca.
Hack de twitter loiseau mange par un ver.. OMG! 🙂