Archives de catégorie : Twitter

Twifakes est un fake :P

Après twifficiency en début de semaine qui vous sortait un obscur pourcentage en fonction de si vous êtes un bon twittos ou pas, c’est twifakes qui m’intéresse moi en cette fin de semaine… A base de tout petit retro engineering.

Je trouvais que le machin calcule assez vite le nombre de faux followers (oui c’est le but du machin) alors je me suis demandé comment cela pouvait bien marcher… Conclusion très rapide : c’est impossible à faire (comme le logiciel de sécurisation Hadopi en fait) : il y a trop de paramètres à prendre en compte.

Alors comment il s’y prend ?

Très simple finalement : prenez votre nombre de followers, divisez le par 12 et gardez la partie entière du résultat. Pour moi par exemple :

542/12 = 45.16667 -> 45 faux followers !

Si encore le mec avait de la pub sur son site je comprendrai, mais là à part spammer twitter ça ne sert strictement à rien…

MAJ : je viens de tomber sur les sources de twifakes et j’avais bien raison sur la méthode de calcul : regardez à la ligne 39 du fichier twifakes.rb

Sur twitter, on est déjà en 2015

Après avoir relayé la pseudo-mort de Bernard Montiel, Twitter a aujourd’hui vu passer une rumeur sur un sujet bien plus grave : la sacro-sainte trilogie retour vers le futur !

On se souvient tous de ces films cultes dont le premier est sorti il y a tout juste 25 ans (3 juillet 1985), et dans lesquels le jeune Marty McFly joué par Mickael J Fox (toujours pas mort non plus… Je sais c’est glauque comme humour) voyage à travers les époques, aussi bien dans le passé que dans le futur.

Pour fêter le 25ème anniversaire du premier film, un twittos (en supposant que la rumeur vienne bien de là) a jugé bon de lancer la rumeur folle selon laquelle Marty aurait, au cours de ses voyages, fait un petit par « chez » nous en 2010.

En tant que grand fan de la trilogie toute entière (une bonne suite c’est déjà relativement rare, mais alors une trilogie !) je me dois de hurler au scandale et de vous présenter cette capture d’écran prise pour l’occasion :

Back to the furture (le premier pour être exact) a bien 25 ans (et c’est très dommage que j’ai du travail en retard, sans quoi je me serai fait la trilogie pour fêter ça) mais Marty n’a jamais séjourné en 2010 et il faudra encore attendre 5 ans pour pouvoir espérer le voir débarquer au volant d’une certaine DMC…

Au delà de l’anecdote, et même si je persiste à dire que c’est grave pour un film pareil, cela prouve que Twitter, s’il peut être utile à faire passer des messages utiles et intéressants, doit être pris avec le même recul que les médias traditionnels et qu’avant de retweeter quelque chose de vérifiable ça ne coûte pas plus cher de lancer une recherche sur Google !

Et si vous voulez des bonnes infos 100% vérifiées (en même temps vu que je tweet pas d’info…) c’est par là que ça se passe : @Paul_Da_Silva

Twitter subit une faille XSS

Dans la série, si madame Michu arrive à sécuriser sa connexion Internet je veux bien manger mon chapeau (qu’il va falloir que je récupère un jour), je vous présente la toute dernière faille de sécurité touchant une toute petite boite : Twitter… Après le petit social engineering dont a été victime la startup, qui n’a plus de startup que le nom, Twitter va à nouveau défrayer la chronique à cause d’une faille de sécurité exposant tous ses utilisateurs : une injection XSS toute bête à exploiter.

Lorsque l’on poste sur twitter depuis une application l’API permet d’afficher le nom du logiciel utilisé en ajoutant un petit lien vers le site de l’éditeur dudit logiciel. Véritable tremplin pour les applications du genre, il semblerait que cette fonctionnalité ne soit pourtant pas idéale d’un point de vue sécurité.

C’est en effet en ajoutant au nom du logiciel utilisé (Ubertweet visiblement, mais il a aussi pu le modifier en passant) qu’un pirate a réussit à exploiter une faille vielle comme le monde : la fameuse injection XSS. Le principe est très simple : il s’agit d’injecter du code Javascript au texte originellement attendu. Si le site est mal codé (aka si le code est affiché tel quel sans que ne soit pratiqué de vérification sur le contenu) le script va être interprété et peut poser de graves problèmes de sécurité.

Il est notamment tout à fait possible de voler les cookies (et donc le compte) d’un utilisateur du service qui serait connecté au moment où il visualiserait la page ! Continuer la lecture →

[Echofon] Faire en sorte qu’echofon réduise toutes les URL

En tant que gros utilisateur de twitter (essentiellement consommateur, puis depuis peu gros posteur / floodeur) j’ai opté pour la superbe extension firefox Echofon, anciennement Twitterfox. Cette extension permet de twitter directement depuis son navigateur web (Firefox en l’occurrence).

Mais j’avais un léger soucis avec cette extension : elle ne réduit les URL contenues dans un tweet que si celui-ci fait plus de 140 caractères… Je ne sais pas trop pourquoi, mais ce comportement ne me plaisait pas. J’ai donc résolu le problème ^^

Pour ce faire il va vous falloir éditer l’un des fichiers de l’extension pour en modifier deux lignes. Le fichier se trouve dans votre profil Firefox, dans le dossier chrome de votre extension :

Sous Linux :

/home/[vous]/.Mozilla/firefox/[votre_profil]/extensions/[email protected]/chrome/

Sous Windows :

C:\Documents and Settings\[vous]\Application Data\Mozilla\Firefox\Profiles\[votre_profil]\extensions\[email protected]\chrome\

En remplaçant bien sûr [vous] et [votre_profil] par les valeurs correspondantes. Sous Windows le dossier « Application Data » est un dossier caché, il faut donc en activer l’affichage

Il va s’agir de modifier le fichier twitterfox.js contenu dans le dossier « content » de l’archive Echofon.jar (s’ouvre avec winrar par exemple) elle même contenue dans le dossier chrome de l’extension (donc le chemin précisé au dessus). Si vous avez réussi à trouver le fameux fichier, vous avez déjà fait le plus dur 😉 Continuer la lecture →

Facebook, Twitter : analyse d’une gestion de crise

En règle générale j’évite d’écrire sur l’actualité pour la simple et bonne raison que beaucoup de monde s’en charge déjà et que ça ne m’intéresse pas d’entrer dans une guerre de positionnement sur de la news.

Mais pour écrire cet article en particulier je vais devoir rebondir sur l’actualité de ces derniers jours : la mise à mal successive des deux plus gros réseaux sociaux actuellement en place par des failles à la limite du 0day et surtout la façon dont les deux start-ups devenues multinationales ont su (ou pas d’ailleurs) gérer la crise.

Les failles

Petit retour sur les deux failles dont je vais vous parler ici afin que vous puissiez suivre la gravité de la situation si vous étiez dans un igloo cette semaine.

Facebook

Mercredi dernier (le 5 mai donc), Techcrunch publie un article expliquant qu’une simple manipulation permet de voir le chat Facebook d’autres comptes que le sien. L’exploit est ultra-simple et permet aussi d’avoir accès aux dernières demandes d’ajout, derniers messages et dernières notifications. Il suffit pour cela de se rendre dans la partie « Privacy settings » (Paramètres de confidentialité) et d’utiliser la fonctionnalité permettant de voir son profil comme le voit un de ses amis.

En allant un peu plus loin on se rend compte qu’il suffit d’ajouter le paramètre ?viewas=[id du profil cible] à l’url de son profil personnel pour avoir accès à toutes ces informations sensibles – que l’on soit ami avec la personne ou non.

Twitter

Hier (le 10 mai donc), Gizmodo publie un article (supprimé depuis mais dont vous pouvez retrouver l’essence du contenu chez l’ami Korben – en français en plus !) expliquant que l’on peut, depuis l’interface web de twitter, et sans aucune connaissance en informatique là encore, forcer n’importe qui à devenir l’un de vos followers.

Il suffit pour cela, en lieu et place de votre statut, de taper « accept username » où username serait le nom d’utilisateur twitter de la personne que vous voulez voir apparaître dans votre liste de followers – « accept Paul_Da_Silva » par exemple…

Continuer la lecture →