[MàJ] Faille XSS : après avoir été mis hors-ligne, TweetDeck est de retour
Cafouillages et gazouillis
![[MàJ] Faille XSS : après avoir été mis hors-ligne, TweetDeck est de retour](https://cdn.next.ink/inpactv7/data-next/images/bd/wide-linked-media/1000.jpg "[MàJ] Faille XSS : après avoir été mis hors-ligne, TweetDeck est de retour")
TweetDeck, l'application qui permet de gérer ses réseaux sociaux et qui appartient à Twitter depuis trois ans, a été hors service de longues minutes en cette fin de journée. Selon la société, cette indisponibilité est liée à une faille XSS (Cross-site scripting), qui a permis à des personnes mal intentionnées d'afficher des messages qu'elles souhaitent, voire selon les scénarios les plus noirs, de prendre le contrôle du compte de la victime.
Pour des raisons de sécurité, Tweetdeck est temporairement hors service. Nous nous excusons pour l'inconvénient.
— Assistance Twitter (@Assistance) 11 Juin 2014
Depuis quelques heures, TweetDeck vit une véritable crise. Dans un premier temps, la société expliquait avoir découvert un problème de sécurité. Une faille corrigée et sans grande conséquence, puisqu'il suffisait de se déconnecter et de se reconnecter à l'outil pour que le correctif soit appliqué. Quelques minutes plus tard, TweetDeck changea son discours en annonçant mettre hors service son outil afin de réévaluer son niveau de sécurité.
Une faille XSS serait à l'origine de tout ce remue-ménage, ce qui était déjà arrivé il y a trois ans chez Twitter. L'expert en sécurité Gary Hawkins a indiqué avant même la mise hors ligne du service qu'il fallait immédiatement arrêter de l'utiliser, ceci jusqu'à nouvel ordre. « Une vulnérabilité importante et facilement exploitable a été découverte dans TweetDeck, jusqu'ici seulement confirmée lors de l'utilisation du navigateur web Google Chrome. » Mais d'autres navigateurs pourraient être concernés.
Capture réalisée par Dorian Sanchez.
Notez que dans les pires scénarios, cette faille peut permettre à une personne mal intentionnée de prendre le contrôle de votre compte et d'y afficher ce qu'elle souhaite. Les spammeurs sont ainsi les plus à même d'exploiter cette faille fin d'y déverser des milliers de messages et de liens. Dans ce genre d'épisode, il est recommandé d'éviter d'utiliser le service tant que l'éditeur n'a pas définitivement résolu le problème. Supprimer les autorisations d'applications de Twitter dans les paramètres est aussi conseillé. Pour le cas de Tweetdeck, tout semble revenu désormais à la normal.
Nous reviendrons vers vous lorsque de plus amples informations nous parviendront.
Commentaires (9)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 11/06/2014 à 18h10
Dans ce genre d’épisode, il est recommandé d’éviter d’utiliser le service tant que l’éditeur n’a pas définitivement résolu le problème.
Voilà, je suis bien content de ne pas l’avoir testé ce service.
Le 11/06/2014 à 18h13
Oui enfin la faille elle est pas vraiment au niveau de Tweetdeck mais au niveau de Twitter qui ne fait pas de contrôle sur le contenu des tweets.
Elle touche Tweetdeck car elle est adaptée au code de l’application, mais le vrai problème c’est que Twitter retourne des tweets contenant du code.
Dans ce cas, c’est n’importe qu’elle application faite avec du HTML/JS qui peut devenir victime de la faille.
Le 11/06/2014 à 18h25
Le 11/06/2014 à 18h58
Le 11/06/2014 à 19h16
Le 11/06/2014 à 20h12
Le 11/06/2014 à 21h28
C’est la base du dev de ne pas faire confiance aux donnés tiers.
Le 12/06/2014 à 05h09
Le 12/06/2014 à 06h23