twitter-bird-logo Le chaos sur Twitter.com est de l'histoire ancienne. Mardi, entre 12h et 16h, la tranquillité du portail d'entrée Web au service de microblogging a quelque peu été bousculée en raison de l'exploitation d'une faille XSS, un problème que Twitter a qualifié d'incident onMouseOver.

L'exploitation d'une vulnérabilité dite Cross-site scripting consiste à placer du code d'un site non sûr dans un autre site. En l'occurrence, du code JavaScript a fait son apparition dans des messages et a été interprété par le navigateur de l'utilisateur. Ce code a fait appel à la fonction onMouseOver, et ainsi un survol avec le pointeur de la souris a déclenché son exécution.

Une joyeuse pagaille dans la mesure où des utilisateurs ont parfois apporté leur pierre à l'édifice de l'exploitation dans l'unique but de se divertir. Les conséquences de cette exploitation ont été l'affichage de pop-ups, l'ouverture d'autres sites Web dont certains auraient pu être malveillants, un retweet automatique du message. Des rainbow tweets ( messages de couleur ) ont parfois dissimulé la véritable teneur du message, et une incitation encore plus forte à cliquer dessus.

L'éditeur de solutions de sécurité Sophos estime que des centaines de milliers de personnes ont été affectées par ce problème dû à " une erreur de programmation Web basique qui a permis à des utilisateurs de Twitter d'ajouter du JavaScript dans leurs tweets ". Un problème qui aurait pu être évité puisque Twitter indique qu'il avait déjà été résolu le mois dernier... C'est une mise à jour du site, dont il est uniquement précisé qu'elle est sans relation avec la nouvelle version de Twitter, qui a permis à la faille de refaire surface. Quelques contrôles ont donc fait défaut.

La version mobile de Twitter n'a pas été touchée. Twitter indique également ne pas avoir connaissance de problèmes ayant entraîné la compromission d'un ordinateur ou d'un compte. Nul besoin donc de modifier les mots de passe. Twitter présente évidemment ses excuses.