MySpace corrige sa faille ... un mois trop tard !

Comme tout bon portail communautaire, MySpace propose à ses membres la postérité électronique en offrant la possibilité de créer un profil consultable pour tous. Il est également possible de se réserver un « jardin secret en ligne » à l’aide une zone privée qui, elle, n’est pas accessible à tous les internautes.

Seulement, une curiosité malsaine a poussé certains visiteurs à découvrir un moyen afin de contourner la protection alors en place. Il ne suffisait finalement que de modifier manuellement un paramètre dans une URL spécifique pour dévoiler au monde les secrets de chacun. Bingo ! Le procédé était bien connu des aficionados de MySpace et a été largement exploité pendant un mois … le temps que les équipes de développeurs la corrigent (sic !).

La vulnérabilité est désormais fixée, les utilisateurs de MySpace sont rassurés, cependant quelque chose nous dit qu’elle ne sera pas la dernière…

Une nouvelle cible ?

L’engouement pour les sites communautaires du genre semble motiver la recherche de failles sur de tels services en ligne.

Ce n’est pas la première fois que MySpace doit faire face à des déboires sécuritaires. Récemment, un ver – baptisé « Samy » et spécifiquement développé pour ce réseau – s’est répandu à travers des millions de profils d’utilisateurs. Il exploitait alors une vulnérabilité de type « cross-site-scripting » (XSS).

Orkut, le réseau social de Google fut également victime d’un malware similaire. Celui-ci, en revanche, subtilisait les informations contenues dans les profils des membres.

Les sites communautaires et autres réseaux sociaux sont devenus l’eldorado du Web 2.0 et de ses investisseurs. Ils deviennent du même coup une cible de choix pour les pirates et par essence un vecteur extrêmement efficace pour diffuser de nouveaux malwares.