Une faille de sécurité dans TweetDeck a été explorée en début d’après-midi ce mercredi (11). En envoyant un code JavaScript via Twitter, une personne malveillante peut exécuter des commandes sur les ordinateurs des victimes qui utilisent TweetDeck. L’un des tweets s’est rapidement répandu et a été retweeté par près de 40 000 personnes en moins de cinq minutes après sa publication.
Le problème est connu sous le nom de XSS, ou cross-site scripting. Cette technique, largement utilisée pour exploiter les défauts des services web, consiste à injecter dans une page un code qui sera exécuté par la machine de l’utilisateur. Il peut s’agir de quelque chose d’inoffensif, comme le tweet ci-dessus, qui affiche un message d’avertissement et incite l’utilisateur à retweeter, ou de quelque chose de potentiellement dangereux, comme un code qui exploite les trous du navigateur.
La faille semblait se limiter à TweetDeck sur le web, qui ne montrait que le cœur du tweet ci-dessus, alors que le code JavaScript était exécuté par le navigateur de l’utilisateur. Le problème ne s’est pas produit dans l’interface web de Twitter, ce qui a empêché le tweet de se propager davantage.
Selon Twitter, propriétaire de TweetDeck, la vulnérabilité a été corrigée, mais les utilisateurs doivent quitter le service et y revenir pour que les changements prennent effet. Cependant, à 14h20, TweetDeck était indisponible et n’était pas autorisé à se connecter. Le service n’est revenu à la normale que vers 15 heures.
