Actualités Logiciel Sécurité

Twitter comble une autre faille

Le lundi 27 Septembre 2010 à 14:00 par Jérôme G. | 1 commentaire(s)

Le service de microblogging a une nouvelle fois été confronté à une vulnérabilité de sécurité.

Cette fois-ci, l'attaque est passée un peu plus inaperçue que celle qui avait exploité une faille XSS. Mais la loi des séries se poursuit pour Twitter. Le suivi de statut du service révèle qu'au cours du week-end, des liens malveillants sont apparus sur Twitter.com. Un clic sur ces liens et l'utilisateur se mettait alors à le relayer.

Sophos explique que le lien intitulé WTF amenait l'utilisateur vers une page blanche, mais qui contenait du code afin d'utiliser une technique dite de cross-site request forgery ( CSRF ) pour que des publications automatiques aient lieu depuis son compte, dans la mesure où il était déjà connecté. Dans le schéma d'une telle attaque, un site Web est amené à effectuer une requête provenant d'un site malveillant.

L'exploit a été corrigé rapidement et Twitter a procédé à la suppression de certains messages ainsi véhiculés, dont certains obscènes, à l'instar d'activités sexuelles revendiquées avec des chèvres. Pas de problème grave de sécurité à déplorer donc, mais pour la deuxième fois en une semaine, Twitter a été piégé.

Complément d'information

Sécurité : Twitter avertit les utilisateurs quand un Etat veut infiltrer leur compte

Certains utilisateurs du service Twitter ont reçu une alerte les informant que leur compte avait peut-être fait l'objet d'une tentative d'infiltration par des services de renseignement gouvernementaux.
Sécurité : une fausse extension de navigateur pirate les comptes Facebook, Twitter et Google +

Un nouveau malware sévit actuellement sur la toile, prenant la forme d’une extension officielle sous Firefox ou Chrome, il récolte les comptes de divers réseaux sociaux.