Un bug de Twitter fait télécharger un fichier BitTorrent

C'est un bug des plus curieux qui touche, de façon aléatoire, des sites qui affichent un bouton "Tweeter". Depuis dimanche, la visite de sites internet utilisant le plug-in du réseau social provoque la demande de téléchargement d'un fichier widgets-tweet_button.html.torrent destiné à un client BitTorrent. Le comportement est typique d'un malware, sauf que le .torrent en lui-même est inoffensif.

Voici son contenu :

d8:announce42:http://tracker.amazonaws.com:6969/announce13:announce-listll42:http://tracker.amazonaws.com:6969/announceee4:infod6:lengthi66948e4:name25:widgets_tweet_button.html12:piece lengthi262144e6:pieces20:ÅúŠ  Ú ,ÜaG¢ýE¢ŽÞÍ12:x-amz-bucket11:tfw-current9:x-amz-key25:widgets/tweet_button.htmlee

Une fois chargé dans BitTorrent, le .torrent permet donc de télécharger la page HTML widgets_tweet_button.html, qui est celle en principe chargée en iframe par le navigateur pour afficher le bouton "tweeter". Pour ce faire, BitTorrent utilise le tracker fourni par Amazon S3, le service d'hébergement en cloud d'Amazon. 

Sans doute faudra-t-il que Twitter, qui n'a pas encore réagi, explique comment l'appel d'une API destinée à afficher une page HTML peut générer un fichier .torrent exclusivement dédié à BitTorrent. Techniquement, c'est assez simple à comprendre. Amazon propose en effet de générer un fichier .torrent pour n'importe quel fichier public, en ajoutant simplement le paramètre "?torrent" après la requête REST GET. Mais pourquoi ce paramètre (si c'est bien cela) a-t-il été ajouté ?

A suivre.