Le géant Youtube, détenu par Google, ne serait pas aussi infaillible qu’il y paraît. Ce dimanche, la découverte d’une faille de sécurité dans son système de commentaires a semé l’anarchie pendant quelques heures sur le site de partage de vidéos…
Des utilisateurs, vraisemblablement en provenance de 4chan (un populaire forum de discussion anglophone où les utilisateurs postent le plus souvent anonymement), ont découvert une faille permettant d’injecter des scripts HTML au sein des commentaires d’une vidéo (faille XSS). Une telle faille donne aussitôt aux utilisateurs malveillants un pouvoir quasi-illimité sur le site.
En l’espace de quelques minutes, les vidéos les plus populaires du site (en particulier celles mettant en scène le jeune chanteur Justin Bieber) se retrouvent saturées de commentaires malveillants : déclencheurs de pop-ups, textes incrustés directement dans la vidéo, redirections automatiques, votes automatiques pour (ou contre) la vidéo regardée, phishing visant à récupérer les identifiants Youtube des utilisateurs, envoi de vidéos à caractère pornographique avec désactivation de la fonctionnalité de signalement aux modérateurs… les apprentis pirates ont rivalisé d’imagination, souvent pour le pire.
Google n’a pas été long à réagir, en désactivant tout d’abord l’affichage par défaut des commentaires, puis en corrigeant la faille dans la foulée. Selon la société de Mountain View, « nous avons vite pris des mesures pour enlever une vulnérabilité cross-site scripting (XSS) de YouTube.com qui a été découverte il y a plusieurs heures. Les commentaires ont été temporairement dissimulés par défaut au bout d’une heure, et nous avons mis en ligne une correction complète du problème au bout de deux heures. Nous continuons d’étudier cette vulnérabilité pour aider à empêcher des problèmes similaires dans le futur ».
Bien que rapidement résolu, ce court problème pose pourtant à nouveau la question de la centralisation des contenus sur Internet, et de la bonne sécurisation des plus vastes plateformes. Sur un site aussi important que Youtube, même si la vulnérabilité est corrigée au bout d’une heure, ce sont déjà des millions de visiteurs qui sont potentiellement touchés…
Source : PC INpact