Twitter part en live. Des dizaines de milliers d'adeptes du service de micro-blogging sont victimes depuis la fin de matinée d'une faille de sécurité du site Twitter.com. Même la femme de l'ex-premier ministre anglais, Sarah Brown, s'est retrouvée à pointer vers un site X hardcore japonais sans le vouloir. Il semblerait également qu'une mode, on l'espère passagère, des tweets arc-en-ciel ( what does it mean ? ) permettant de poster des blocs de couleurs à la place des micromessages (à l'aide de codes à poster) ne soit pas pour rien dans l'histoire.
Plus concrètement, la faille pouvait également faire apparaître, selon les navigateurs, des suites de tweets ésotériques :
La faille porte le joli nom de «faille d'injection XSS». Les messages porteurs du parasite s'affiche à l'insu des titulaires de compte sous la forme de signes incompréhensibles pour le commun des twittos mais qui sont en fait un morceau de code javascript, destiné à agir à l'insu des utilisateurs. Le simple affichage d'un message vérolé à l'écran -ou le fait de passer sa souris dessus- et voilà que vous vous retrouvez à «re-tweeter» le parasite. Selon les variantes, une fenêtre s'affiche à l'écran ou des bandes de couleur barrent le site de Twitter sur l'écran.
Une capture d'écran d'un retweet involontaire :
Quelques mesures prophylactiques s'imposent en attendant que Twitter reprenne la main sur son service et corrige la faille:
1-Ne pas utiliser directement le site Twitter.com pour utiliser le service, mais privilégier les logiciels tiers (Tweetdeck, Echofon etc.) ou les applications sur téléphone mobile.
2-Si vous avez été touché, retrouvez vos messages infectés via le service mobile de Twitter ( http://m.twitter.com ) et supprimez-les.
Et profitez-en pour vous désintoxiquer (mais abonnez vous aussi au compte @ecrans dès que tout ce ramdam sera terminé). Une semaine après le lancement de la nouvelle interface Twitter.com, cet incident tombe au plus mal pour le site, et devrait sans doute renforcer davantage l'usage des clients tiers...
[MAJ] Twitter a invité les internautes ayant des infos précises sur l'origine de l'attaque à le signaler auprès de leur compte @safety, responsable de la sécurité informatique du système. Et a affirmé que le patch mis en place pour réparer la faille devrait être efficace au plus vite.