Depuis plus d’un an, il suffit de cliquer sur un lien malveillant sur Twitter pour prendre le contrôle de votre compte et l’utiliser pour tweeter, retweeter, liker ou bloquer d’autres utilisateurs. La vulnérabilité a été rendue publique mercredi, ce qui a permis de la corriger rapidement et de réprimander l’utilisateur qui l’avait rendue publique.
Au lieu d’obtenir une récompense monétaire dans le cadre du programme de récompense des bugs de Twitter, l’entreprise a interdit à l’utilisateur de participer au programme.
J’ai signalé ce bug et je n’ai pas reçu de prime. Vous m’avez dit que ce bogue existait depuis un an. Puisque vous ne l’avez pas corrigé depuis si longtemps, il semble que ce bug ne soit pas important, alors je l’ai rendu public. pic.twitter.com/R9X4k8KqMZ
– rabbit (@rabbit_2333) 12 décembre 2023
La divulgation a été faite par l’utilisateur pseudonyme de Twitter @rabbit_2333, qui a expliqué comment une vulnérabilité XSS sur le sous-domaine analytique de Twitter pouvait être exploitée pour donner à un attaquant l’accès à un profil tiers et la possibilité de faire presque n’importe quoi sauf changer le mot de passe du compte.
Le piratage s’est appuyé sur des attaques de type cross-site scripting (XSS) et cross-site request forgery (CSRF). Les attaques XSS permettent à des acteurs malveillants d’injecter des scripts malveillants dans des pages web, tandis que les attaques CSRF incitent les utilisateurs à effectuer des actions sur une application web où ils sont déjà authentifiés.
Le bogue de Twitter a utilisé les deux méthodes et est donc particulièrement dangereux. En abusant du XSS, les attaquants pourraient contourner les mesures de sécurité du web et obtenir un accès non autorisé aux comptes des utilisateurs.
Lorsque la nouvelle de cette vulnérabilité s’est répandue, Chaofan Shou, cofondateur de la plateforme d’analyse de contrats intelligents Fuzz.Land, a donné plus de détails. Il a révélé à quel point il était facile de construire un puissant outil d’exploitation basé sur cette vulnérabilité non corrigée et a donné une explication détaillée du fonctionnement du bug et des dommages potentiels qu’il pourrait causer.
Voici la divulgation complète de la vulnérabilité XSS + CSRF de Twitter.
En cliquant sur un lien ou en allant sur une page web conçue, les attaquants peuvent prendre le contrôle de votre compte (publier, aimer, mettre à jour votre profil, supprimer votre compte, etc.) pic.twitter.com/MVJ1MvHt6H
– Chaofan Shou (@shoucccc) Le 13 décembre 2023
Sam Sun a indiqué que le navigateur web Brave, axé sur la protection de la vie privée, aurait empêché l’exploit de fonctionner.
L’équipe X a réagi rapidement après cette révélation publique. En l’espace de quelques heures, elle a colmaté la fuite, comme l’a confirmé Sun. Cependant, malgré la gravité potentielle de la fuite, @rabbit_2333 n’a pas été récompensé pour sa découverte. Au lieu de cela, il a été informé qu’il avait été exclu du programme de récompense des bugs.
« Merci Twitter », a écrit l’utilisateur, en fournissant des captures d’écran de l’avis de bannissement de Twitter.
Alors que les commentaires affluaient sur la question de savoir si @rabbit_2333 aurait dû ou non signaler le bug, l’utilisateur a affirmé qu’il avait suivi le bon protocole dès le départ. Ce n’est que lorsque X a rejeté la gravité et l’éligibilité à une prime qu’ils l’ont rendue publique, a déclaré l’utilisateur.
J’ai soumis ce rapport de bogue et je n’ai pas reçu de prime. Vous m’avez dit que ce bug existait depuis un an. Puisque vous ne l’avez pas corrigé depuis si longtemps, il semble que ce bug ne soit pas important, alors je l’ai rendu public. pic.twitter.com/R9X4k8KqMZ
– rabbit (@rabbit_2333) 12 décembre 2023
L’objectif des programmes de primes aux bugs est de prévenir ce type d’incidents en encourageant les développeurs à découvrir des failles de sécurité grâce à des récompenses et à l’engagement de ne pas les divulguer pendant que l’entreprise corrige le problème.
Les programmes de primes aux bugs sont courants dans le développement de logiciels, mais aussi dans les crypto-monnaies, en particulier lorsqu’il s’agit de contrats intelligents. Si la mise en œuvre de ces programmes peut s’avérer difficile, la prévention d’une faille de sécurité est généralement considérée comme utile.
Les programmes d’incitation de type « white-hat » et « bug-bounty » exigent généralement que les vulnérabilités restent confidentielles. Mais ils ont aussi souvent une date d’expiration pour s’assurer que le développeur de logiciel agit en temps voulu.
