Pour gérer vos consentements :
Categories: Cloud

Sécurité IT : une faille XSS sème la pagaille sur TweetDeck

Messages indésirables, retweets involontaires, serveur inaccessible : TweetDeck a connu une soirée mouvementée ce mercredi.

Cette agitation était liée à une faille de type cross-site scripting (XSS) affectant la version Web du service ainsi que son extension Google Chrome. Des tiers l’ont exploitée pour injecter, à distance, du code JavaScript dans le navigateur Web des utilisateurs. Ce qui se traduisait notamment par l’affichage de pop-up, dont certaines transmettant un message explicite : « Please close now TweetDeck [sic], it is not safe », que l’on peut traduire par « Veuillez quitter TweetDeck. Son usage n’est pas sécurisé ».

La vulnérabilité en question est aussi à l’origine de nombreuses chaînes de retweets qui ont touché des comptes comme celui du New York Times (@NYTimesBusiness) et celui du collectif hacktiviste Anonymous (@YourAnonNews). Les premiers signaux sont remontés en fin d’après-midi. Il était environ 18h30 à Paris quand Twitter, propriétaire de TweetDeck (racheté en 2011 pour environ 20 millions de dollars), a invité les utilisateurs à se déconnecter de leur compte… puis à se reconnecter.

Une démarche qui n’a pas suffi à résoudre le problème. Entretemps, les témoignages de certains twittos ont même laissé suggérer que le bug concernait aussi les applications desktop – Windows et OS X – de TweetDeck. Vers 19 heures, Twitter a décidé de fermer temporairement le service. Lequel a été finalement été rétabli peu avant 20 heures, sans plus d’explication. On ignore dans quelle mesure la faille a pu être exploitée pour dérober des données personnelles.

Comme le note The Verge, la structure du client TweetDeck est telle que l’élévation de privilèges est impossible. Il est donc plus difficile pour des pirates de s’ouvrir l’accès à des informations confidentielles. TweetDeck avait déjà été victime d’une faille de type XSS en 2011. A l’époque, les développeurs avaient rapidement résolu le problème. L’année suivante, c’était au tour de Twitter de subir le contrecoup du cross-site scripting : 39 000 comptes utilisateurs piratés via une faille de sécurité dans une interface de programmation logicielle en lien avec la plate-forme de micro-blogging.

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de Twitter ?

Crédit photo : Maksim Kabakou – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago