Sans que vous ne le sachiez peut-être, il se déroule actuellement sur la plateforme de microblogging Twitter un évènement de taille. Par l’intermédiaire d’un ami, un hacker anglais (et acessoirement consultant SEO) a hier contacté le site Mashable pour leur faire part d’une annonce relativement incroyable, et à prendre avec beaucoup de sérieux, puisque confirmée. A l’aide d’une application tierce, et grâce à une faille de sécurité, le hacker a réussi -plutôt facilement apparemment- à insérer du JavaScript sur la page d’un profil Twitter. Cela lui a permis de faire apparaître une pop-up sur le site, affichant le message qu’il souhaite. Des preuves ? Vous pouvez visiter son profil (@Apifail2, à vos risques et périls ?) ou bien tout simplement visualiser l’image qui suit :

Dans le fond, bien qu’une faille aussi aberrante que celle-ci soit présente sur le site, rien de catastrophique. Le problème, c’est que cette faille permet beaucoup plus que l’affichage d’une pop-up. Exploitée, elle permet à n’importe quel développeur de permettre un certain nombre d’éléments tels que la suppressions de tous vos followings ou followers, l’envoi de messages à tous vos contacts, l’envoi de tweets à votre place, la simple redirection vers un site malveillant ou pire, l’intégration de virus ou l’enregistrement de vos cookies et donc de l’identifiant et du mot de passe de votre compte. La panique, encore limitée aux USA à l’heure qu’il est, est donc bien légitime.

Tenez vous bien, parce que ce n’est pas fini. On pourrait croire que Twitter a été informé (c’est bien vrai), et qu’ils ont corrigé la faille. Et bien oui, mais non. Quelques heures plus tard, le problème était « officiellement, facilement et rapidement corrigé », mais il y a quelques dizaines de minutes, le gentil hacker (je vous rappelle qu’il ne fait ça que pour renforcer la sécurité de la plateforme !) a récidivé, créant un nouveau compte, et… utilisant également du JavaScript, avec, de surcroît, un peu d’humour :

Il va donc rapidement falloir se remettre au boulot si l’équipe de Twitter ne veut pas que le problème s’étende, d’autant plus que le blogueur a révélé la faille, ce qui permet à n’importe qui de profiter un maximum de celle-ci avant sa correction. Je vous suggère donc d’être vigilant jusqu’à la correction du problème.

Accéder à la première source, sur Mashable
Accéder à la seconde source, sur TechCrunch