[MàJ] Faille XSS : après avoir été mis hors-ligne, TweetDeck est de retour

[MàJ] Faille XSS : après avoir été mis hors-ligne, TweetDeck est de retour

Cafouillages et gazouillis

Avatar de l'auteur
Nil Sanyas

Publié dans

Logiciel

11/06/2014 2 minutes
9

[MàJ] Faille XSS : après avoir été mis hors-ligne, TweetDeck est de retour

TweetDeck, l'application qui permet de gérer ses réseaux sociaux et qui appartient à Twitter depuis trois ans, a été hors service de longues minutes en cette fin de journée. Selon la société, cette indisponibilité est liée à une faille XSS (Cross-site scripting), qui a permis à des personnes mal intentionnées d'afficher des messages qu'elles souhaitent, voire selon les scénarios les plus noirs, de prendre le contrôle du compte de la victime.

 

Depuis quelques heures, TweetDeck vit une véritable crise. Dans un premier temps, la société expliquait avoir découvert un problème de sécurité. Une faille corrigée et sans grande conséquence, puisqu'il suffisait de se déconnecter et de se reconnecter à l'outil pour que le correctif soit appliqué. Quelques minutes plus tard, TweetDeck changea son discours en annonçant mettre hors service son outil afin de réévaluer son niveau de sécurité.

 

Une faille XSS serait à l'origine de tout ce remue-ménage, ce qui était déjà arrivé il y a trois ans chez Twitter. L'expert en sécurité Gary Hawkins a indiqué avant même la mise hors ligne du service qu'il fallait immédiatement arrêter de l'utiliser, ceci jusqu'à nouvel ordre. « Une vulnérabilité importante et facilement exploitable a été découverte dans TweetDeck, jusqu'ici seulement confirmée lors de l'utilisation du navigateur web Google Chrome. » Mais d'autres navigateurs pourraient être concernés.

 

Twitter XSS

Capture réalisée par Dorian Sanchez.

 

Notez que dans les pires scénarios, cette faille peut permettre à une personne mal intentionnée de prendre le contrôle de votre compte et d'y afficher ce qu'elle souhaite. Les spammeurs sont ainsi les plus à même d'exploiter cette faille fin d'y déverser des milliers de messages et de liens. Dans ce genre d'épisode, il est recommandé d'éviter d'utiliser le service tant que l'éditeur n'a pas définitivement résolu le problème. Supprimer les autorisations d'applications de Twitter dans les paramètres est aussi conseillé. Pour le cas de Tweetdeck, tout semble revenu désormais à la normal.

 

Nous reviendrons vers vous lorsque de plus amples informations nous parviendront.

Écrit par Nil Sanyas

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Fermer

Commentaires (9)


matroska
Le 11/06/2014 à 18h 10



Dans ce genre d’épisode, il est recommandé d’éviter d’utiliser le service tant que l’éditeur n’a pas définitivement résolu le problème.





Voilà, je suis bien content de ne pas l’avoir testé ce service.



<img data-src=" />



<img data-src=" />


NiCr Abonné
Le 11/06/2014 à 18h 13

Oui enfin la faille elle est pas vraiment au niveau de Tweetdeck mais au niveau de Twitter qui ne fait pas de contrôle sur le contenu des tweets.



Elle touche Tweetdeck car elle est adaptée au code de l’application, mais le vrai problème c’est que Twitter retourne des tweets contenant du code.



Dans ce cas, c’est n’importe qu’elle application faite avec du HTML/JS qui peut devenir victime de la faille.


linkin623
Le 11/06/2014 à 18h 25







NiCr a écrit :



Oui enfin la faille elle est pas vraiment au niveau de Tweetdeck mais au niveau de Twitter qui ne fait pas de contrôle sur le contenu des tweets.



Elle touche Tweetdeck car elle est adaptée au code de l’application, mais le vrai problème c’est que Twitter retourne des tweets contenant du code.



Dans ce cas, c’est n’importe qu’elle application faite avec du HTML/JS qui peut devenir victime de la faille.





<img data-src=" /> Merci des détails ! Sinon



matroska a écrit :



Voilà, je suis bien content de ne pas l’avoir testé ce service.



<img data-src=" />



<img data-src=" />





<img data-src=" /> l’appli est largement suffisante pour ce que j’en fais la journée, pourquoi changer? <img data-src=" />



matroska
Le 11/06/2014 à 18h 58







linkin623 a écrit :



<img data-src=" /> Merci des détails ! Sinon

<img data-src=" /> l’appli est largement suffisante pour ce que j’en fais la journée, pourquoi changer? <img data-src=" />







Personnellement, je n’en ai pas l’utilité, j’utilise juste l’application officielle Twitter, ça me suffit amplement étant donné que je n’ai pas besoin des fonctionnalités de Tweetdeck.



<img data-src=" />



<img data-src=" />



Conan28
Le 11/06/2014 à 19h 16







NiCr a écrit :



Oui enfin la faille elle est pas vraiment au niveau de Tweetdeck mais au niveau de Twitter qui ne fait pas de contrôle sur le contenu des tweets.



Elle touche Tweetdeck car elle est adaptée au code de l’application, mais le vrai problème c’est que Twitter retourne des tweets contenant du code.



Dans ce cas, c’est n’importe qu’elle application faite avec du HTML/JS qui peut devenir victime de la faille.





Contenant…du code ? Selon l’API, un tweet ne contient qu’une chaîne de caractère UTF-8, les choses sont clair. Si t’es pas fichu d’échapper ta chaîne c’est ton problème.



Surtout qu’il faut vraiment être pas dégourdi pour tomber dans le piège de la faille XSS. Exemple, si tu utilises tonElement.textContent = “”; il ne se passe…rien, la chaîne est échappée correctement. Si tu utilises le DOM correctement, il ne se passe rien aussi. Par contre si tu te mets à insérer du code HTML directement dans la variable qui contient le tweet pour l’afficher, c’est quand même franchement crétin. document.createTextElement ça existe depuis des années.



Ah et innerHTML est une relique d’Internet Explorer, ce n’est pas réellement dans une spécification, que ce soit DOM ou HTML5. Il y a juste un Living Standard au WHATWG (et non au W3C) qui définit son comportement puisqu’il est très utilisé. On est censé utiliser document.createElement et ses petits frères.



cGuille
Le 11/06/2014 à 20h 12







NiCr a écrit :



Oui enfin la faille elle est pas vraiment au niveau de Tweetdeck mais au niveau de Twitter qui ne fait pas de contrôle sur le contenu des tweets.



Elle touche Tweetdeck car elle est adaptée au code de l’application, mais le vrai problème c’est que Twitter retourne des tweets contenant du code.



Dans ce cas, c’est n’importe qu’elle application faite avec du HTML/JS qui peut devenir victime de la faille.







Non mais qu’est-ce qu’il ne faut pas lire. Ce n’est pas du tout le rôle de l’API de Twitter de traiter le contenu pour l’affichage. L’API n’a pas à pré-supposer du traitement qui sera fait des informations qu’elle fournit, et ne doit donc pas les altérer. C’est le travail de la brique logicielle chargée de l’affichage (ici, elle se trouve chez TweetDeck) de se dire “ah tiens, si il y a du HTML dans le contenu, il peut être interprété, je peux même me faire exécuter du JS dans la gueule”.



Ce que je me demande, c’est dans quel cas particulier cette XSS se produisait : c’est quand-même pas juste en mettant une balise de script dans un tweet, ça se serait vu depuis un bail. Ou alors c’est une régression récente ?



tyrus Abonné
Le 11/06/2014 à 21h 28

C’est la base du dev de ne pas faire confiance aux donnés tiers.


jpaul Abonné
Le 12/06/2014 à 05h 09







NiCr a écrit :



Oui enfin la faille elle est pas vraiment au niveau de Tweetdeck mais au niveau de Twitter qui ne fait pas de contrôle sur le contenu des tweets.



Elle touche Tweetdeck car elle est adaptée au code de l’application, mais le vrai problème c’est que Twitter retourne des tweets contenant du code.



Dans ce cas, c’est n’importe qu’elle application faite avec du HTML/JS qui peut devenir victime de la faille.





N’importe quoi. L’API Twitter se contrefout de ce que contiennent les Tweets. Et n’importe quelle application HTML/JS utilisant l’API de Twitter ça inclue … Twitter.com



À ce compte là il faut aussi qu’ils échappent les `(backticks) des fois que quelqu’un utilise l’API dans un script shell ou encore les guillemets, t’imagines si on veut mettre des Tweets dans une base de données :o



C’est pas méchant mais c’est juste fatiguant de voir constamment des grosses plateformes se faire piéger par les types de failles expliquée à la page 3 de “Créer son site Internet pour les kikoos”. Surtout qu’en 2014, il y a whatmille excellents frameworks côté serveur et côté client qui t’empêchent de recourir à la mère de tous les vices: la concaténation <img data-src=" />



Soltek
Le 12/06/2014 à 06h 23







matroska a écrit :



Personnellement, je n’en ai pas l’utilité, j’utilise juste l’application officielle Twitter, ça me suffit amplement étant donné que je n’ai pas besoin des fonctionnalités de Tweetdeck.



<img data-src=" />



<img data-src=" />





L’application Officiel ? Sur mobile tu veux dire ? TweetDeck c’est pour du Desktop, ça n’a rien à voir.



Sinon je vous colle sur Pastebin un des tweets qui utilisait ce bug d’hier, ça vous parlera peut-être plus.



Ça faisait retweet les gens automatiquement, genre celui-là que j’ai vu passer sur ma TL a été retweet environ 82.000 fois.