Quand Twitter vous transforme en machine à SPAM (à l'insu de votre plein gré)

Buffer

En provoquant la plus belles vagues de spam viral qu’ait connu Twitter, Twifficiency a montré que l’écosystème applicatif du service de microblogging était propice, si ce n’est à l’usurpation pure et simple de votre identité, au moins à son utilisations abusive. Elle a aussi rappelé – en était-il vraiment besoin – que les utilisateurs, aussi sensibilisés technologiquement fussent-ils, ne lisaient ni les consignes, ni les messages systèmes.

Ce premier article d’une nouvelle catégorie Black Hat UX a pour but de vous montrer comment une application innocente peut vous transformer en machine à SPAM à l’insu de votre plein gré.

It would be nice if Twitter offered levels of authentication

Hier soir, Charles Arthur suggérait d’affiner le système de permissions données aux applications par Twitter :

It would be nice if Twitter offered levels of authentication: “can see your data” “app can tweet” rather than the all-or-nothing as now.

La proposition de Charles Arthur n’est pas inintéressante, mais elle est erronée. Lors de l’autorisation d’une nouvelle application, Twitter indique explicitement si l’accès à vos informations se fera en lecture seule, ou en lecture / écriture.

Le système de permissions de Twitter pour les applications tierces est à la fois très simple et très souple.

  1. Une application peut accéder à vos données si et seulement si vous lui en donnez explicitement l’autorisation.
  2. Les autorisations d’accès sont données en lecture seule ou en écriture.
  3. Votre compte peut être public ou protégé. Dans le deuxième cas, seules les personnes auxquelles vous aurez donné un accès explicite pourront lire vos tweets. Ces permissions sont également valables pour les listes et les applications.

Le problème ne vient donc pas tant du système de permissions que du message utilisé.

L’application Toto conçue par World Company requiert l’autorisation d’accéder à, et mettre à jour vos données sur Twitter. Vous n’utilisez pas Twitter ? Inscrivez-vous et rejoignez la conversation !

Premier problème, Mettre à jour vos données est trop vague ; le message devrait dire explicitement que l’application pourra tweeter en votre nom. L’invitation à rejoindre Twitter devrait, elle, se détacher du bloc, car non significative au regard des informations liées à la sécurité.

Second problème, le comportement des applications.

Twifficiency est un service calculant votre efficacité sur Twitter, en se basant votre activité. La première version publiait votre score et une invitation à utiliser directement sur Twitter, sans vous en avertir explicitement avant, et sans vous permettre de modifier le message. En reposant sur le principe de “celui qui a la plus grosse”, Twifficiency était à sûr d’attirer du monde, dans un écosystème numérique où l’on adore les concours de bits.

Erreur de jeunesse ou réelle volonté de tromper ses utilisateurs, Twifficiency possède toutes les caractéristiques de la SPAM machine :

  • Pas d’opt in pour la publication d’informations depuis votre compte, en dehors du message affiché par Twitter.
  • Pas d’avertissement sur la publication immédiate du message à l’affichage des résultats.
  • Aucune possibilité de contrôler ou modifier le contenu du message

Le troisième problème vient de Twitter lui-même. Révoquer les droits d’une application nécessite de se plonger dans ses settings, et les termes choisis ne sont pas forcément explicites, d’autant que le menu associé côtoie des éléments de design bien moins critiques.

Révoquer les droits d'une application sur Twitter

Et l’autorisation des applications n’est pas limitée dans le temps. Un service comme Sans révocation, un service commet Twifficiency peut donc tweeter en votre nom ad vitam eternam.

Le quatrième problème, enfin, se trouve entre la chaise et le clavier. Après 15 ans de Web grand public les utilisateurs n’ont toujours pas compris qu’ils ne devaient pas faire confiance à la première application venue, surtout si elle leur propose de virtuellement enlarger leur pénis.

Buffer
Publié le 01 septembre 2010 à 09h07 Publié sous et Labels twitter, ergonomie, utilisabilité, hat, ux, spam, black

À propos

Frédéric de Villamil

Je m'appelle Frédéric de Villamil, et quand je ne déploie pas ma mauvaise humeur et ma mauvaise foi sur le Web, je suis un super héros chargé de sauver le monde. Vous pouvez me suivre sur Twitter.

  1. TontonP le 01 septembre 2010 à 13h45

    Je me suis fait avoir aussi. Mais le Premier problème vient du message lui-même lors de la demande d’autorisation. C’est d’ailleurs un message généré par twitter lui-même (et non pas par l’application tiers) Il est juste fait mention que l’application “allait accéder à vos données”. Sans préciser que les droits sont des droits lecture/écriture.

  2. Olivier le 02 septembre 2010 à 09h19

    Moi pour enlarger my penis, je connais la méthode suédoise ;) http://www.youtube.com/watch?v=3WCvULMRUq8

Réagir à Quand Twitter vous transforme en machine à SPAM (à l'insu de votre plein gré)

Afin de maintenir le niveau global de ce site, les commentaires font l'objet d'une politique de modération qualitative basée sur des critères non écrits et totalement subjectifs, donc injustes.

Les commentaires écrits en langage SMS, inutiles, déplacés, injurieux ou relevant du spam seront systématiquement supprimés sans avertissement préalable.

Les trackbacks sont fermés pour cause de spam.