Suivez moi sur Twitter

Rejoignez moi sur Facebook

Suivez le flux RSS

Des fois, je me demande quelles conséquences pourraient avoir une grosse faille de sécurité s’il n’y avait pas des développeurs pour s’en apercevoir à temps. Yvo Schaap, un jeune développeur hollandais de 24 ans, vient en effet de découvrir en utilisant différentes API qu’une importante faille de sécurité menaçait à la fois Facebook et MySpace. Ce manquement permet en effet tout simplement aux hackers de récupérer toutes les données de votre compte (incluant vous photos, coordonnées, messages personnes, et j’en passe) sans même que vous puissiez vous en apercevoir. « Mais comment cela peut-il m’arriver », me direz-vous ? Et bien tout simplement en utilisant le cookie de connexion automatique et en visualisant un élément en flash (ce qui est bien plus courant que vous le pensez, croyez-moi). Il semblerait même que le simple fait de voir afficher un élément dans la timeline suffise à rendre vos données exploitables, ce qui rend presque indéniable votre vulnérabilité. Dès que la faille a été officialisée, le site américain TechCrunch a contacté Facebook et a obtenu pour réponse : « La sécurité vis-à-vis de notre utilisateurs est une priorité et nous travaillons avec le chercheur qui a identifié la faille pour la réparer. Nous n’avons pas reçu de report selon lequel cette faille aurait déjà été exploitée ». Le problème majeur est que, selon Yvo Schaap, l’exploitation de cette faille ne laisse pas la moindre trace, et vos données sont peut-être déjà toutes stockées bien précieusement par des personnes malveillantes. Il semblerait au moment où j’écris cet article que MySpace ait déjà réglé le problème et que Facebook en soit proche, ce qui est plutôt rassurant. Reste maintenant à attendre afin de connaître les conséquences de cette faille, avec comme petit réconfort l’idée que si des données avaient été volées ces derniers temps, il y a de grandes chances pour qu’elles eussent déjà été exploitées. Plus de peur que de mal donc, mais ce n’est pas la première fois que Facebook et MySpace se laissent surprendre par ce genre de menaces, preuve qu’il y a peut-être un travail supplémentaire à apporter en termes de sécurité.

Sans que vous ne le sachiez peut-être, il se déroule actuellement sur la plateforme de microblogging Twitter un évènement de taille. Par l’intermédiaire d’un ami, un hacker anglais (et acessoirement consultant SEO) a hier contacté le site Mashable pour leur faire part d’une annonce relativement incroyable, et à prendre avec beaucoup de sérieux, puisque confirmée. A l’aide d’une application tierce, et grâce à une faille de sécurité, le hacker a réussi -plutôt facilement apparemment- à insérer du JavaScript sur la page d’un profil Twitter. Cela lui a permis de faire apparaître une pop-up sur le site, affichant le message qu’il souhaite. Des preuves ? Vous pouvez visiter son profil (@Apifail2, à vos risques et périls ?) ou bien tout simplement visualiser l’image qui suit :

Dans le fond, bien qu’une faille aussi aberrante que celle-ci soit présente sur le site, rien de catastrophique. Le problème, c’est que cette faille permet beaucoup plus que l’affichage d’une pop-up. Exploitée, elle permet à n’importe quel développeur de permettre un certain nombre d’éléments tels que la suppressions de tous vos followings ou followers, l’envoi de messages à tous vos contacts, l’envoi de tweets à votre place, la simple redirection vers un site malveillant ou pire, l’intégration de virus ou l’enregistrement de vos cookies et donc de l’identifiant et du mot de passe de votre compte. La panique, encore limitée aux USA à l’heure qu’il est, est donc bien légitime.

Tenez vous bien, parce que ce n’est pas fini. On pourrait croire que Twitter a été informé (c’est bien vrai), et qu’ils ont corrigé la faille. Et bien oui, mais non. Quelques heures plus tard, le problème était « officiellement, facilement et rapidement corrigé », mais il y a quelques dizaines de minutes, le gentil hacker (je vous rappelle qu’il ne fait ça que pour renforcer la sécurité de la plateforme !) a récidivé, créant un nouveau compte, et… utilisant également du JavaScript, avec, de surcroît, un peu d’humour :

Il va donc rapidement falloir se remettre au boulot si l’équipe de Twitter ne veut pas que le problème s’étende, d’autant plus que le blogueur a révélé la faille, ce qui permet à n’importe qui de profiter un maximum de celle-ci avant sa correction. Je vous suggère donc d’être vigilant jusqu’à la correction du problème.

Accéder à la première source, sur Mashable
Accéder à la seconde source, sur TechCrunch