Messages indésirables, retweets involontaires, serveur inaccessible : TweetDeck a connu une soirée mouvementée ce mercredi.
Cette agitation était liée à une faille de type cross-site scripting (XSS) affectant la version Web du service ainsi que son extension Google Chrome. Des tiers l’ont exploitée pour injecter, à distance, du code JavaScript dans le navigateur Web des utilisateurs. Ce qui se traduisait notamment par l’affichage de pop-up, dont certaines transmettant un message explicite : « Please close now TweetDeck [sic], it is not safe », que l’on peut traduire par « Veuillez quitter TweetDeck. Son usage n’est pas sécurisé ».
La vulnérabilité en question est aussi à l’origine de nombreuses chaînes de retweets qui ont touché des comptes comme celui du New York Times (@NYTimesBusiness) et celui du collectif hacktiviste Anonymous (@YourAnonNews). Les premiers signaux sont remontés en fin d’après-midi. Il était environ 18h30 à Paris quand Twitter, propriétaire de TweetDeck (racheté en 2011 pour environ 20 millions de dollars), a invité les utilisateurs à se déconnecter de leur compte… puis à se reconnecter.
Une démarche qui n’a pas suffi à résoudre le problème. Entretemps, les témoignages de certains twittos ont même laissé suggérer que le bug concernait aussi les applications desktop – Windows et OS X – de TweetDeck. Vers 19 heures, Twitter a décidé de fermer temporairement le service. Lequel a été finalement été rétabli peu avant 20 heures, sans plus d’explication. On ignore dans quelle mesure la faille a pu être exploitée pour dérober des données personnelles.
Comme le note The Verge, la structure du client TweetDeck est telle que l’élévation de privilèges est impossible. Il est donc plus difficile pour des pirates de s’ouvrir l’accès à des informations confidentielles. TweetDeck avait déjà été victime d’une faille de type XSS en 2011. A l’époque, les développeurs avaient rapidement résolu le problème. L’année suivante, c’était au tour de Twitter de subir le contrecoup du cross-site scripting : 39 000 comptes utilisateurs piratés via une faille de sécurité dans une interface de programmation logicielle en lien avec la plate-forme de micro-blogging.
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de Twitter ?
Crédit photo : Maksim Kabakou – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…