La célèbre plateforme de partage de vidéos en ligne a été confrontée dimanche 4 juillet à une attaque cross-site scripting. Typiquement, une attaque XSS consiste à injecter du code malveillant dans un site Web afin d'exécuter un script externe à la page. Ce code qui est exécuté dans le navigateur et dans le contexte du site consulté, peut être transmis via une publicité affichée, un commentaire laissé sur un forum comme cela a été le cas pour YouTube.

Des vidéos relatives à Justin Bieber, un jeune chanteur canadien qui a justement débuté sa carrière sur YouTube et connaît une grande popularité auprès du public adolescent, ont donc été prises pour cible dans le cadre d'une attaque XSS. Les attaquants ont eu recours à du code HTML spécialement formé pour passer outre les mesures de protection de YouTube dans la section réservée aux commentaires.

L'exploit a causé l'affichage d'un message pop-up annonçant la mort tragique de Justin Bieber dans un accident de voiture, et dans certains les internautes ont été redirigés vers des sites à contenu pour adulte. D'autres vidéos non liées à Justin Bieber ont également été touchées par de telles attaques.

Dans une réponse fournie à PC World, un porte-parole de Google a indiqué que suite à la détection des ces attaques, les commentaires YouTube ont été cachés par défaut pendant près d'une heure et un correctif a été déployé dans les deux heures. Belle réactivité tout de même pour un jour de fête nationale aux États-Unis.

Selon ce porte-parole, l'attaque a représenté un risque potentiel pour les cookies YouTube des utilisateurs qui ont visité les pages compromises, mais cela n'a pas pu être utilisé pour accéder à leurs comptes Google.