IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 938
    Points
    75 938
    Par défaut Twitter est tombé sous le coup d'une attaque XSS hier, après qu'un adolescent ait révélé une faille
    Twitter est tombé sous le coup d'une attaque XSS hier, après qu'un adolescent ait révélé une faille fragilisant le site

    Si vous avez un compte Twitter, vous avez sans doute remarqué que le service a été extrêmement perturbé hier, mardi, pendant l'après midi.

    A partir de 13h30, il était impossible pour la majorité des inscrits au site de tweeter : leurs posts apparaissaient totalement noirs, ou bien déformés avec des lettres énormes et placées de haut en bas. D'autres ne peuvent pas poster du tout et sont redirigés vers des pages d'erreur, quand ils ne se retrouvent pas face à des ouvertures intempestives de pop-ups. Un vrai bazar.

    Pire, lorsqu'un utilisateur de la plateforme de micro-blogging se connectait sous son compte, des liens (redirigeant les malheureux cliquant dessus sur des sites pornographiques asiatiques) apparaissaient automatiquement et en grand nombre sur leurs profils, postés automatiquement comme s'ils provenaient de l'utilisateur lui-même.

    A l'origine de ce chaos international ? Un bout de code malicieux de 140 signes qui a été diffusé de manière virale (retweeté à outrance), à une vitesse vertigineuse. En quelques heures à peine, des millions d'inscrits étaient touchés. Rappelons que le site compte près de 145 millions d'utilisateurs à travers le monde.

    Plus techniquement, le problème a été occasionné par une attaque XSS (cross-site scripting). Ce type d'agression numérique force un site à afficher du code HTML ou des scripts (qui ont été saisis par les utilisateurs) à cause de code injecté dans la page, il peut par exemple afficher un formulaire afin de tromper l'utilisateur et lui faire saisir ses informations d'authentification pour les lui voler.

    Heureusement, sur Twitter, l'attaque semble avoir fait plus de peur que de mal. Le site étant en pleine mutation (une nouvelle version est lancée progressivement, mise à jour sur mise à jour).

    Un lycéen australien de 17 ans a "revendiqué" être la source de de problème, mais de manière involontaire :
    «Au moment de mon tweet, je n’imaginais pas que ça allait décoller comme ça. Je n’y avais même jamais pensé», a-t-il déclaré.

    Pearce Delphin, @zzap sur le réseau social, a tweeté un morceau de code JavaScript mouseover qui forçait l'ouverture de fenêtres pop-ups lorsqu’on place son curseur dessus. Voyant cela, des hackers ont découvert la faille mise à jour par l'adolescent, et ils se sont empressés de l'exploiter. Modifiant le code d'origine, ils se sont arrangés pour que les pop-ups s'ouvrent sur des sites pornographiques et que le code malveillant se propage via des tweets viraux.

    La plateforme a ainsi été mise à mal pendant plusieurs heures, et les comptes de certaines célébrités ont été atteints (dont Robert Gibbs, porte-parole de la Maison Blanche ou Sarah Brown, épouse de Gordon, ancien premier ministre britannique).

    Selon un porte-parole de Twitter, la faille "devrait être très rapidement corrigée".

    A noter que seul le site est affecté, la version mobile du réseau de micro-blogging n'a été touchée par aucun incident dans cette affaire.

    Source : Le blog de Twitter

  2. #2
    Membre confirmé
    Inscrit en
    février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : février 2010
    Messages : 230
    Points : 579
    Points
    579
    Par défaut
    Ce problème ne montre-t-il pas que tous les sites sur lesquelles on peut saisir du JavaScript (qui reçu en tant que tel par les navigateurs, évidemment) sont vulnérables?

    N'importe quel site où l'on peut saisir du JavaScript qui est ensuite envoyé comme tel (donc pas converti en texte brut) au navigateur client (qui va donc l'exécuter) peut servir de plateforme pour répendre des virus non?

  3. #3
    Membre actif
    Profil pro
    Inscrit en
    novembre 2006
    Messages
    137
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2006
    Messages : 137
    Points : 250
    Points
    250
    Par défaut
    Ce problème ne montre-t-il pas que tous les sites sur lesquelles on peut saisir du JavaScript (qui reçu en tant que tel par les navigateurs, évidemment) sont vulnérables?

    N'importe quel site où l'on peut saisir du JavaScript qui est ensuite envoyé comme tel (donc pas converti en texte brut) au navigateur client (qui va donc l'exécuter) peut servir de plateforme pour répendre des virus non?
    Oui, mais twitter permettait de saisir du javascript de base ?

  4. #4
    Membre actif
    Profil pro
    Developpeur
    Inscrit en
    avril 2004
    Messages
    160
    Détails du profil
    Informations personnelles :
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Developpeur

    Informations forums :
    Inscription : avril 2004
    Messages : 160
    Points : 210
    Points
    210
    Par défaut
    Ce n'est pas un peu trop là....Si comme c'est vraiment l'adolescent à decouvert un truc qui n'a jamais existait et que pour les hackers c'est une nouvelle façon d'attaquer....les hackers devrait remercie l'ado alors!!!!

  5. #5
    Nouveau membre du Club
    Inscrit en
    février 2010
    Messages
    12
    Détails du profil
    Informations forums :
    Inscription : février 2010
    Messages : 12
    Points : 26
    Points
    26
    Par défaut
    comme quoi même les géants font des erreurs de débutant (ne pas filtrer les messages envoyés par les utilisateurs)

    Bizarre quand même, les failles XSS sont assz facilement contrables.

  6. #6
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2007
    Messages
    22
    Détails du profil
    Informations personnelles :
    Âge : 31
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : novembre 2007
    Messages : 22
    Points : 41
    Points
    41
    Par défaut
    En fait, j'ai plutôt l'impression que les développeurs de Twitter ont oubliés les tests de régression car cette faille avais déjà été corrigée.

  7. #7
    Membre expert Avatar de air-dex
    Homme Profil pro
    Inscrit en
    août 2010
    Messages
    1 615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations forums :
    Inscription : août 2010
    Messages : 1 615
    Points : 3 617
    Points
    3 617
    Par défaut
    Depuis août 2009, Twitter a été victime d'une attaque par DoS (août 2009), un détournement DNS (mi-décembre 2009) et maintenant d'une attaque XSS. Visiblement la sécurité est de mise sur ce site !
    "Ils ne savaient pas que c'était impossible alors ils l'ont fait." Mark Twain

    Mon client Twitter Qt cross-platform Windows et Linux. (en cours de développement).

  8. #8
    Membre habitué Avatar de adivinenza
    Inscrit en
    juin 2008
    Messages
    91
    Détails du profil
    Informations forums :
    Inscription : juin 2008
    Messages : 91
    Points : 129
    Points
    129
    Par défaut
    Franchement, j'aurais pas pensé que ca marcherait de mettre du JS dans twitter, on se dit tous que ca été bloqué par les developpeurs, Beh chapeau quand meme au garçon, il a de l'avenir ...

  9. #9
    Membre régulier
    Profil pro
    Inscrit en
    septembre 2010
    Messages
    40
    Détails du profil
    Informations personnelles :
    Âge : 30
    Localisation : France

    Informations forums :
    Inscription : septembre 2010
    Messages : 40
    Points : 103
    Points
    103
    Par défaut
    Ce genre de personnes sont complètement débiles, je suis désolé.
    Franchement quel est l'intêret de foutre un tel bordel sur un site, à la rigueur mettre un pop-up, ou faire un simple alert avec twitter hacked par exemple, c'est tout. Et pour les pops-up qui amenaient à des sites pornographiques,
    là non plus, ils ne pensent pas qu'il y a peut être des gosses sur twitter, ils devraient quand même réfléchir à deux fois avant de coder, bref.
    Les personnes qui trouves ces failles devraient contacter le plus tôt possible la société concernée, pour éviter ça je pense qu'ils seraient plus respectés et pris au sérieux.
    Parce que là en faisant cela ils ont plutôt l'air de ressembler à des psychopates devant leur PC et donne encore une fois une mauvaise image du hacking.
    Sinon malin quand même pour le gars d'avoir trouvé la faille.
    -Ubuntu Natty Narwhal 64bits
    -Windows 7 Ultimate 64bits

  10. #10
    Membre habitué
    Profil pro
    Inscrit en
    mai 2006
    Messages
    94
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2006
    Messages : 94
    Points : 186
    Points
    186
    Par défaut
    Citation Envoyé par H.Pascal Voir le message
    Ce genre de personnes sont complètement débiles, je suis désolé.
    Franchement quel est l'intêret de foutre un tel bordel sur un site, à la rigueur mettre un pop-up, ou faire un simple alert avec twitter hacked par exemple, c'est tout. Et pour les pops-up qui amenaient à des sites pornographiques,
    là non plus, ils ne pensent pas qu'il y a peut être des gosses sur twitter, ils devraient quand même réfléchir à deux fois avant de coder, bref.
    Les personnes qui trouves ces failles devraient contacter le plus tôt possible la société concernée, pour éviter ça je pense qu'ils seraient plus respectés et pris au sérieux.
    Parce que là en faisant cela ils ont plutôt l'air de ressembler à des psychopates devant leur PC et donne encore une fois une mauvaise image du hacking.
    Sinon malin quand même pour le gars d'avoir trouvé la faille.
    L'intérêt est tout simplement monétaire. Les sites pornographiques en question payent (évidemment) les hackers pour avoir leur popup sous tweeter...

  11. #11
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2006
    Messages : 636
    Points : 734
    Points
    734
    Par défaut
    Voyant cela, des hackers ont découvert la faille mise à jour par l'adolescent, et ils se sont empressés de l'exploiter.
    Ce n'est pas le terme approprié, je pense.

Discussions similaires

  1. Tester si une transaction est active sous interbase firebird
    Par yaniss321 dans le forum PHP & Base de données
    Réponses: 0
    Dernier message: 04/05/2010, 11h04
  2. Réponses: 3
    Dernier message: 11/11/2009, 16h25
  3. une page blanche est affichée sous firefox
    Par bousnguar dans le forum JSF
    Réponses: 6
    Dernier message: 01/12/2008, 17h37
  4. comment l'instance d'une application est reperée sous Windows
    Par Chatbour dans le forum VB 6 et antérieur
    Réponses: 3
    Dernier message: 14/07/2007, 12h48
  5. Réponses: 2
    Dernier message: 06/04/2006, 11h57

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo