On parle beaucoup de MySpace ces derniers temps. C’est que tout le monde veut faire sa petite place sur le réseau communautaire. Conséquence de ce succès : l’appétit de certains qui y voient le lieu de placer le mauvais fruit de leurs développements. Dernier exemple en date : une vulnérabilité liée à l’emploi de QuickTime et qui a pour conséquence si elle est exploitée (encore faut-il donc qu’elle le soit) de livrer les identifiants personnels MySpace de l’internaute. Une vidéo QuickTime peut ainsi servir à la diffusion d’un vers, lequel amène à remplacer l’adresse des pages du profil de l’abonné MySpace par d’autres où l’internaute n’accède pas, contrairement à ce qu’il pense, à ses données personnelles, mais court le risque de livrer des informations qui ne regardent absolument pas ceux qui les demandent.

MySpace, victime de son succès ? Le réseau social américain, récemment acquis par le groupe News Corp., suscite désormais l'intérêt des pirates comme des éditeurs spécialisés en sécurité informatique, qui étudient l'impact potentiel des failles que pourraient véhiculer les nombreuses pages Web de MySpace. Websense vient par exemple de dévoiler une importante vulnérabilité liée à Quicktime qui pourrait conduire au vol des identifiants personnels de l'internaute. Ceux-ci seraient ensuite utilisés pour propager du spam, ou rédiger des billets à son insu sur sa page MySpace.
 
En affichant sur MySpace une vidéo Quicktime piégée (au moyen de l'attribut « href track », qui permet de charger du JavaScript), des pirates seraient en mesure de diffuser un ver et de remplacer l'adresse des pages liées au profil de l'internaute par celles de sites de phishing. Ainsi, croyant s'identifier pour accéder à ses options personnelles, le visiteur risquerait de confier à son insu ses informations personnelles à des personnes malintentionnées. En outre, le ver serait également capable de corrompre le profil des internautes qui visitent une page infectée. Ces derniers seraient reconnaissables à la présence d'un encart vidéo Quicktime ne contenant aucun contenu réel.
 
Plusieurs centaines de profils infectés auraient déjà été nettoyés, indique Websense, même si MySpace n'a pour le moment pas souhaité s'exprimer sur le sujet. La société, qui revendique aujourd'hui plus de 73 millions de comptes utilisateurs actifs, a déjà fait l'objet d'attaques par le passé (voir par exemple MySpace : blog et bannière publicitaire infectée).