Une faille provoque la panique sur Twitter

Pendant au moins quatre ou cinq heures, des dizaines de milliers d'utilisateurs ont eu ainsi la mauvaise surprise de voir des messages qu'ils n'avaient absolument pas rédigés postés sur leur profil. Ces drôles de tweets (voir nos captures) ont pris différentes formes mais cachaient tous du code Javascript qui s'activait dès que l'on passait le curseur de sa souris dessus !

Leurs effets étaient divers : quand certains tweets lançaient une simple pop-up ou ouvraient une nouvelle fenêtre menant à un site pornographique, d'autres affichaient des lettres géantes sur le profil ! De plus, la plupart de ces tweets se répliquaient automatiquement en créant un retweet envoyé immédiatement à tous les abonnés de l'utilisateur infecté.

Vu l'ampleur et la variété des attaques subies par Twitter, il est impossible de dire si certaines d'entres elles n'étaient pas destinées à faire plus de mal encore. Sur son blog, F-Secure a repéré l'une des attaques originelles, ces tweets noircis pour cacher du code, œuvre d'un programmeur, Magnus Holm, qui se vantait d'avoir lancé le premier de ces « vers Twitter ». Le sien n'était pas méchant, juste gênant, mais a tout de même réussi à « contaminer » plus de 40 000 profils en quelques minutes, puis quelques centaines de milliers par la suite, soit un phénomène d'une ampleur sans précédent sur le site.

Magnus Holm l'assurait, toujours sur Twitter : « Je n'ai pas découvert la faille XSS [cross-site scripting], j'ai juste créé le ver. » Avant de s'inquiéter quelques minutes plus tard, peut-être dépassé par sa création : « Wow, plusieurs autres vers se répandent maintenant, et je ne suis pas sûr qu'ils soient aussi inoffensifs que le mien. » En réalité, c'est un adolescent australien de 17 ans, @zzap, qui a découvert la faille et l'a exploitée le premier, uniquement pour créer des tweets arc-en-ciel.

A qui la faute dans cette gigantesque pagaille ? A Twitter, indubitablement. Tout est parti d'une vulnérabilité béante, apparue hier sur le site. Stéphan Roux, consultant en sécurité chez Sophos, nous confie : « Twitter a procédé, hier, à une mise à jour discrète mais conséquente sur d'importantes parties du code de son service. » C'est cette mise à jour qui aurait permis ces attaques XSS. Et ce par le biais de la commande Javascript OnMouseOver, qui permet aux développeurs de programmer le déclenchement d'une action sur un site dès que le curseur de la souris passe sur une certaine zone.

« Des petits malins passent leur temps à utiliser des outils automatisés destinés à trouver des failles sur les sites. Il semblerait que Twitter ait été la victime d'un logiciel de ce type », avance Stéphan Roux. Autrement dit, cette faille de Twitter était particulièrement facile à débusquer, même pour un hacker en herbe tel que zzap…

Twitter a annoncé la correction de cette faille d'une manière pour le moins laconique. D'après le site, il ne s'agit pas de la première déconvenue en matière de sécurité. En 2009, il avait déjà été victime d'un important « exploit » permettant d'infecter le profil de quelqu'un lorsqu'il visitait une autre page de profil. A l'époque, le ver Mikkey, inoffensif mais encombrant, avait déjà pollué des dizaines de milliers de timelines... Trois fois rien en comparaison de cette #Twitpocalypse qui a aujourd'hui frappé le réseau !

Ci-dessous, une vidéo de l'exploit :