La faille XSS de Twitter avait déjà été corrigée le mois dernier

Les utilisateurs de Twitter ont eu une drôle de surprise hier, en se connectant sur le site web du service. En effet, une faille XSS (Cross Site Scripting) a été exploitée par quelques utilisateurs pour forcer la diffusion massive de messages vérolés sur le réseau de micro-blogging. Au total, près de 500 000 utilisateurs auraient été affectés par cette vulnérabilité.

Dans une note publiée sur le blog officiel de Twitter, l'un des membres de l'équipe de sécurité du service de micro-blogging est revenu sur cet incident en apportant quelques explications. Cette faille avait été découverte et corrigée le mois dernier par l'équipe de développement. Cependant, une mise à jour récente - indépendante de la nouvelle version de Twitter - l'a réouverte par inadvertance.

"Cet exploit a uniquement affecté Twitter.com et n'a pas eu d'impact sur notre site web mobile ou sur nos applications dédiées" a-t-il tenu à souligner. Les solutions alternatives comme Seesmic, Echofon ou Tweetdeck n'ont pas non plus été touchées par cette vulnérabilité. "Il n'y a pas besoin de changer les mots de passe parce que les informations du compte n'ont pas été compromises à travers cette faille" a-t-il souligné.

Rappelons que la faille a été exploitée par un code JavaScript. Interprété par le navigateur, il s'est servi de l'évènement OnMouseOver pour se re-publier ("retweet") au fur et à mesure dans le flux des utilisateurs. L'évènement OnMouseOver survient lorsque le curseur survole l'élément en question. Plus tard dans la journée, une version "évoluée" du code est même apparue. Celle-ci parvenait à se diffuser sans même être survolée.