Ce samedi, les utilisateurs de l’Orkut sont confrontés à une faille de sécurité qui leur permet de pénétrer dans de nouvelles communautés sans que l’utilisateur n’approuve expressément l’action, tant qu’ils utilisent le nouvel Orkut. La recommandation, du moins pour l’instant, est que les personnes n’accèdent pas au réseau social tant que Google ne s’est pas exprimé sur le sujet.
Il semble que la faute ait le caractère XSS. C’est-à-dire qu’un code stocké dans un autre serveur est exécuté par le navigateur lorsque l’utilisateur accède à Orkut. C’est similaire à ce qui s’est passé sur Twitter la semaine dernière, lorsque d’autres codes malveillants ont poussé les utilisateurs à publier des mises à jour sans autorisation.
Par conséquent, aucune intervention de l’utilisateur n’est nécessaire pour être infecté : il suffit d’accéder au lien avec le script malveillant pour commencer automatiquement à faire partie de communautés étranges.
Dans mon expérience particulière, après avoir ouvert Orkut, j’ai automatiquement rejoint une communauté qui n’a qu’un seul personnage en forme de cœur dans le titre et la description “mon amour pour toi ne cesse de grandir ! Au moment de la publication de ce billet, la communauté compte plus de 210 000 membres.
12h53 update | La faille de sécurité explorée sur Orkut ne fonctionne que sur la dernière version du réseau social. Ceux qui continuent à utiliser l'”ancien” Orkut ne courent aucun risque, car le service n’exécute pas de scripts malveillants sans l’autorisation de l’utilisateur.
Mis à jour à 12:56 pm | Les amis de Google Discovery ont recommandé, par le biais de leur profil Twitter, que les utilisateurs ne cliquent pas sur les images contenant le drapeau français . Il semble que ce drapeau soit aussi un moyen de déclencher le script malveillant qui exploite la faille de sécurité.
Mise à jour à 13h16 | Le lecteur Diego Carvalho a reçu une capture d’écran avec les drapeaux de la France qui finissent par infecter les utilisateurs d’Orkut.
Mise à jour de 13h43 | Le script malveillant déjà signalé à Google ajoute des utilisateurs à une communauté appelée “Orkut Virus Infected”. À l’heure actuelle, la communauté compte plus de 180 000 participants. Dans sa description, l’administrateur déclare : “Rien n’a été installé sur votre ordinateur (autre que le cookie de contrôle) et aucune information personnelle n’a été volée”.
Nous recommandons aux utilisateurs d’Orkut de vérifier s’ils participent à des communautés ayant un cœur dans le titre et portant le nom “Infected by the Orktut Virus”. Si c’est le cas, l’idéal est d’arrêter de participer à ces communautés et de faire un nettoyage dans les cookies du navigateur (CCleaner est un bon outil pour cela).
7:24 pm update | Selon Google Discovery, Google s’est enfin exprimé sur le sujet. La société demande aux utilisateurs de désactiver JavaScript avant d’accéder à Orkut. Voir la déclaration complète ci-dessous.
“Nous travaillons activement à corriger une vulnérabilité qui permet une attaque XSS sur orkut.com qui a été découverte il y a plusieurs heures. Notre première analyse du code du script n’a révélé aucune activité malveillante. Cependant, nous conseillons aux utilisateurs d’orkut de désactiver temporairement Javascript pour protéger leurs comptes pendant que nous travaillons sur un patch”.
Merci à tous les lecteurs qui nous ont avertis de l’échec !
