Après twifficiency en début de semaine qui vous sortait un obscur pourcentage en fonction de si vous êtes un bon twittos ou pas, c’est twifakes qui m’intéresse moi en cette fin de semaine… A base de tout petit retro engineering.

Je trouvais que le machin calcule assez vite le nombre de faux followers (oui c’est le but du machin) alors je me suis demandé comment cela pouvait bien marcher… Conclusion très rapide : c’est impossible à faire (comme le logiciel de sécurisation Hadopi en fait) : il y a trop de paramètres à prendre en compte.

Alors comment il s’y prend ?

Très simple finalement : prenez votre nombre de followers, divisez le par 12 et gardez la partie entière du résultat. Pour moi par exemple :

542/12 = 45.16667 -> 45 faux followers !

Si encore le mec avait de la pub sur son site je comprendrai, mais là à part spammer twitter ça ne sert strictement à rien…

MAJ : je viens de tomber sur les sources de twifakes et j’avais bien raison sur la méthode de calcul : regardez à la ligne 39 du fichier twifakes.rb

Feel free to Flattr this post at flattr.com, if you like it.

Après avoir relayé la pseudo-mort de Bernard Montiel, Twitter a aujourd’hui vu passer une rumeur sur un sujet bien plus grave : la sacro-sainte trilogie retour vers le futur !

On se souvient tous de ces films cultes dont le premier est sorti il y a tout juste 25 ans (3 juillet 1985), et dans lesquels le jeune Marty McFly joué par Mickael J Fox (toujours pas mort non plus… Je sais c’est glauque comme humour) voyage à travers les époques, aussi bien dans le passé que dans le futur.

Pour fêter le 25ème anniversaire du premier film, un twittos (en supposant que la rumeur vienne bien de là) a jugé bon de lancer la rumeur folle selon laquelle Marty aurait, au cours de ses voyages, fait un petit par « chez » nous en 2010.

En tant que grand fan de la trilogie toute entière (une bonne suite c’est déjà relativement rare, mais alors une trilogie !) je me dois de hurler au scandale et de vous présenter cette capture d’écran prise pour l’occasion :

Back to the furture (le premier pour être exact) a bien 25 ans (et c’est très dommage que j’ai du travail en retard, sans quoi je me serai fait la trilogie pour fêter ça) mais Marty n’a jamais séjourné en 2010 et il faudra encore attendre 5 ans pour pouvoir espérer le voir débarquer au volant d’une certaine DMC…

Au delà de l’anecdote, et même si je persiste à dire que c’est grave pour un film pareil, cela prouve que Twitter, s’il peut être utile à faire passer des messages utiles et intéressants, doit être pris avec le même recul que les médias traditionnels et qu’avant de retweeter quelque chose de vérifiable ça ne coûte pas plus cher de lancer une recherche sur Google !

Et si vous voulez des bonnes infos 100% vérifiées (en même temps vu que je tweet pas d’info…) c’est par là que ça se passe : @Paul_Da_Silva

Feel free to Flattr this post at flattr.com, if you like it.

Dans la série, si madame Michu arrive à sécuriser sa connexion Internet je veux bien manger mon chapeau (qu’il va falloir que je récupère un jour), je vous présente la toute dernière faille de sécurité touchant une toute petite boite : Twitter… Après le petit social engineering dont a été victime la startup, qui n’a plus de startup que le nom, Twitter va à nouveau défrayer la chronique à cause d’une faille de sécurité exposant tous ses utilisateurs : une injection XSS toute bête à exploiter.

Lorsque l’on poste sur twitter depuis une application l’API permet d’afficher le nom du logiciel utilisé en ajoutant un petit lien vers le site de l’éditeur dudit logiciel. Véritable tremplin pour les applications du genre, il semblerait que cette fonctionnalité ne soit pourtant pas idéale d’un point de vue sécurité.

C’est en effet en ajoutant au nom du logiciel utilisé (Ubertweet visiblement, mais il a aussi pu le modifier en passant) qu’un pirate a réussit à exploiter une faille vielle comme le monde : la fameuse injection XSS. Le principe est très simple : il s’agit d’injecter du code Javascript au texte originellement attendu. Si le site est mal codé (aka si le code est affiché tel quel sans que ne soit pratiqué de vérification sur le contenu) le script va être interprété et peut poser de graves problèmes de sécurité.

Il est notamment tout à fait possible de voler les cookies (et donc le compte) d’un utilisateur du service qui serait connecté au moment où il visualiserait la page !

Pour cela rien de plus simple, il suffit de les envoyer sur une autre adresse en Ajax (non je ne vous donnerai pas le code en question ). Une fois le cookie récupéré il suffit de le forger en local, et hop, on est connecté sans avoir à rentrer un seul login/mdp (admin / admin marche pas en plus !)

Twitter a réagi assez vite puisque le compte en question (@0wn3d_5ys) a été désactivé et que ma tentative d’injecter du code Js en modifiant une requête envoyée par Echofon (en utilisant Tamper Data) s’est soldée par un échec : « Signature non reconnue ». Il semblerait cependant que la modification du nom du logiciel requière une modification d’un autre paramètre : oauth_signature qui est calculée à partir de divers paramètres (surement le timestamp et le nom du logiciel) et que notre ami pirate a du générer. Je ne suis donc pas sûr que la faille soit comblée à l’heure où j’écris ces lignes…

J’ai pu regarder rapidement le code utilisé par le pirate et n’y ai rien vu qui ressemble à un vol de cookie. Cependant, par mesure de précaution et parce que je ne suis pas sûr d’avoir visité tout le Javascript injecté, j’ai décidé de changer de mot de passe (et de me déconnecter / reconnecter vu que les identifications Twitter sont basées sur des sessions dont l’identifiant est stocké en cookie) et vous recommande de faire la même chose si vous avez eu le temps de visiter le compte en question avant sa fermeture…

Accessoirement, et c’est plus grave encore, rien ne garanti que vous n’avez pas, ou n’allez pas, visiter un compte qui aurait utilisé la même méthode de façon plus sournoise pour voler votre compte sans que cela ne se voit… Prudence donc en allant visiter les comptes twitter sur le Web…

Feel free to Flattr this post at flattr.com, if you like it.

En tant que gros utilisateur de twitter (essentiellement consommateur, puis depuis peu gros posteur / floodeur) j’ai opté pour la superbe extension firefox Echofon, anciennement Twitterfox. Cette extension permet de twitter directement depuis son navigateur web (Firefox en l’occurrence).

Mais j’avais un léger soucis avec cette extension : elle ne réduit les URL contenues dans un tweet que si celui-ci fait plus de 140 caractères… Je ne sais pas trop pourquoi, mais ce comportement ne me plaisait pas. J’ai donc résolu le problème ^^

Pour ce faire il va vous falloir éditer l’un des fichiers de l’extension pour en modifier deux lignes. Le fichier se trouve dans votre profil Firefox, dans le dossier chrome de votre extension :

Sous Linux :

/home/[vous]/.Mozilla/firefox/[votre_profil]/extensions/twitternotifier@naan.net/chrome/

Sous Windows :

C:\Documents and Settings\[vous]\Application Data\Mozilla\Firefox\Profiles\[votre_profil]\extensions\twitternotifier@naan.net\chrome\

En remplaçant bien sûr [vous] et [votre_profil] par les valeurs correspondantes. Sous Windows le dossier « Application Data » est un dossier caché, il faut donc en activer l’affichage

Il va s’agir de modifier le fichier twitterfox.js contenu dans le dossier « content » de l’archive Echofon.jar (s’ouvre avec winrar par exemple) elle même contenue dans le dossier chrome de l’extension (donc le chemin précisé au dessus). Si vous avez réussi à trouver le fameux fichier, vous avez déjà fait le plus dur

Il suffit ensuite de modifier la ligne 702 :

if (text.length > 140) {

devient :

if(true){

Et la ligne 715 :

if (url.length > 25 && !url.match(/tinyurl\.com/i)) {

devient :

if (url.length > 10 && !url.match(/tinyurl\.com/i)) {

Sauvez les modifications (en replaçant le fichier twitternotifier.js dans l’archive Echofon.jar si besoin… Normalement il n’y a pas besoin de redémarrer Firefox, mais si ça ne marche pas vous pouvez essayer…

Ainsi chaque fois que vous postez une URL de plus de 10 caractères (au lieu de 25), quelle que soit la taille du tweet en lui même, l’url est réduite via bit.ly

Et si vous voulez encore plus de fun avec Echofon le plus simple c’est encore de me suivre sur twitter : @Paul_Da_Silva (oh le vilain placement !)

Feel free to Flattr this post at flattr.com, if you like it.

En règle générale j’évite d’écrire sur l’actualité pour la simple et bonne raison que beaucoup de monde s’en charge déjà et que ça ne m’intéresse pas d’entrer dans une guerre de positionnement sur de la news.

Mais pour écrire cet article en particulier je vais devoir rebondir sur l’actualité de ces derniers jours : la mise à mal successive des deux plus gros réseaux sociaux actuellement en place par des failles à la limite du 0day et surtout la façon dont les deux start-ups devenues multinationales ont su (ou pas d’ailleurs) gérer la crise.

Les failles

Petit retour sur les deux failles dont je vais vous parler ici afin que vous puissiez suivre la gravité de la situation si vous étiez dans un igloo cette semaine.

Facebook

Mercredi dernier (le 5 mai donc), Techcrunch publie un article expliquant qu’une simple manipulation permet de voir le chat Facebook d’autres comptes que le sien. L’exploit est ultra-simple et permet aussi d’avoir accès aux dernières demandes d’ajout, derniers messages et dernières notifications. Il suffit pour cela de se rendre dans la partie « Privacy settings » (Paramètres de confidentialité) et d’utiliser la fonctionnalité permettant de voir son profil comme le voit un de ses amis.

En allant un peu plus loin on se rend compte qu’il suffit d’ajouter le paramètre ?viewas=[id du profil cible] à l’url de son profil personnel pour avoir accès à toutes ces informations sensibles – que l’on soit ami avec la personne ou non.

Twitter

Hier (le 10 mai donc), Gizmodo publie un article (supprimé depuis mais dont vous pouvez retrouver l’essence du contenu chez l’ami Korben – en français en plus !) expliquant que l’on peut, depuis l’interface web de twitter, et sans aucune connaissance en informatique là encore, forcer n’importe qui à devenir l’un de vos followers.

Il suffit pour cela, en lieu et place de votre statut, de taper « accept username » où username serait le nom d’utilisateur twitter de la personne que vous voulez voir apparaître dans votre liste de followers – « accept Paul_Da_Silva » par exemple…

La gestion de la crise

Ces deux failles sont énormes et simplicimes d’exploitation, vous en conviendrez. Il y a d’ailleurs du y avoir quelques personnes qui se sont fait taper sur les doigts dans les HQ des deux sociétés concernées… Du coup très vite les articles pleuvent un peu partout sur la toile et, compte tenu de la simplicité des failles, les deux sociétés doivent agir dans l’urgence pour éviter que l’anarchie s’empare de leurs sites respectifs.

La réaction Facebook

« Euh… Sérieusement les gars ?! » C’est à peu près la réaction que j’ai eu en voyant les mesures prises par Facebook pour protéger notre vie privée face à cette faille énorme. En effet, les petits gars de Zuckerberg se sont contenté de désactiver le chat – sans explication et en laissant le reste de la faille ouverte le temps de patcher tout cela. La bonne solution aurait été de carrément désactiver la fonctionnalité « viewas » qui posait problème non ? Et franchement niveau code une bête ligne aurait suffit à cela :

if(isset($_GET['viewas'])) $_GET['viewas'] = 0000;

La réaction twitter

Là c’est un peu plus compliqué : la faille permet de réellement altérer le fonctionnement de Twitter et les abonnements de diverses personnes devaient déjà avoir été modifiés. La solution du petit oiseau bleu : on remet tous les compteurs à zéro (followers et following) le temps de patcher la faille et de tracker les vilains profiteurs qui se sont ajouté des following.

Niveau communication ça donne quoi ?

Si twitter a assez vite réagi en publiant un message sur leur blog suivi de plusieurs updates au fur et a mesure de la résolution du problème, Facebook est resté complètement muet sur le problème qu’ils ont subi, prétextant une maintenance pour justifier de la désactivation du chat pendant plusieurs heures.

Si l’on peut apprécier la transparence de twitter, on est en droit de se demander si la politique de Facebook n’a pas aussi ses avantages : même s’ils ont volontairement caché une faille de sécurité mettant (encore un peu plus) à mal la confidentialité des données présentes sur son réseau, beaucoup moins de monde a pu en profiter que s’ils avaient publié un message sur la homepage de tous les utilisateurs précisant les raisons de la désactivation du chat…

Bref en un mot il n’y a pas de solution miracle de gestion de la crise, mais une fois ladite crise passée il aurait été appréciable que Facebook informe les utilisateurs du fait que leurs données avaient été rendues « publiques » l’espace de quelques heures. Solution surement écartée pour éviter une vague de désinscription qui est déjà bien amorcée.

En passant, j’en profite pour vous inviter à me suivre sur twitter, vu que je ne peux plus vous ajouter moi même : @Paul_Da_Silva

Feel free to Flattr this post at flattr.com, if you like it.

David Letterman, l’animateur du célèbre Lateshow de CBS recevait Kevin Spacey la semaine dernière. Ils en ont profité pour discuter du nouveau réseau social à la mode, j’ai nommé Twitter.

On y découvre un Kevin Spacey très drôle (en plus d’être un des mes acteurs favoris) et un David Letterman à la limite du grabataire…

Voici l’extrait en question :

Vous pouvez retrouver le twitt envoyé en direct du plateau par Kevin Spacey ici.

On peut aussi en déduire que tous les comptes de letterman sont des faux…

Feel free to Flattr this post at flattr.com, if you like it.