En provoquant la plus belles vagues de spam viral qu’ait connu Twitter, Twifficiency a montré que l’écosystème applicatif du service de microblogging était propice, si ce n’est à l’usurpation pure et simple de votre identité, au moins à son utilisations abusive. Elle a aussi rappelé – en était-il vraiment besoin – que les utilisateurs, aussi sensibilisés technologiquement fussent-ils, ne lisaient ni les consignes, ni les messages systèmes.

Ce premier article d’une nouvelle catégorie Black Hat UX a pour but de vous montrer comment une application innocente peut vous transformer en machine à SPAM à l’insu de votre plein gré.

It would be nice if Twitter offered levels of authentication

Hier soir, Charles Arthur suggérait d’affiner le système de permissions données aux applications par Twitter :

It would be nice if Twitter offered levels of authentication: “can see your data” “app can tweet” rather than the all-or-nothing as now.

La proposition de Charles Arthur n’est pas inintéressante, mais elle est erronée. Lors de l’autorisation d’une nouvelle application, Twitter indique explicitement si l’accès à vos informations se fera en lecture seule, ou en lecture / écriture.

Le système de permissions de Twitter pour les applications tierces est à la fois très simple et très souple.

  1. Une application peut accéder à vos données si et seulement si vous lui en donnez explicitement l’autorisation.
  2. Les autorisations d’accès sont données en lecture seule ou en écriture.
  3. Votre compte peut être public ou protégé. Dans le deuxième cas, seules les personnes auxquelles vous aurez donné un accès explicite pourront lire vos tweets. Ces permissions sont également valables pour les listes et les applications.

Le problème ne vient donc pas tant du système de permissions que du message utilisé.

L’application Toto conçue par World Company requiert l’autorisation d’accéder à, et mettre à jour vos données sur Twitter. Vous n’utilisez pas Twitter ? Inscrivez-vous et rejoignez la conversation !

Premier problème, Mettre à jour vos données est trop vague ; le message devrait dire explicitement que l’application pourra tweeter en votre nom. L’invitation à rejoindre Twitter devrait, elle, se détacher du bloc, car non significative au regard des informations liées à la sécurité.

Second problème, le comportement des applications.

Twifficiency est un service calculant votre efficacité sur Twitter, en se basant votre activité. La première version publiait votre score et une invitation à utiliser directement sur Twitter, sans vous en avertir explicitement avant, et sans vous permettre de modifier le message. En reposant sur le principe de “celui qui a la plus grosse”, Twifficiency était à sûr d’attirer du monde, dans un écosystème numérique où l’on adore les concours de bits.

Erreur de jeunesse ou réelle volonté de tromper ses utilisateurs, Twifficiency possède toutes les caractéristiques de la SPAM machine :

  • Pas d’opt in pour la publication d’informations depuis votre compte, en dehors du message affiché par Twitter.
  • Pas d’avertissement sur la publication immédiate du message à l’affichage des résultats.
  • Aucune possibilité de contrôler ou modifier le contenu du message

Le troisième problème vient de Twitter lui-même. Révoquer les droits d’une application nécessite de se plonger dans ses settings, et les termes choisis ne sont pas forcément explicites, d’autant que le menu associé côtoie des éléments de design bien moins critiques.

Révoquer les droits d'une application sur Twitter

Et l’autorisation des applications n’est pas limitée dans le temps. Un service comme Sans révocation, un service commet Twifficiency peut donc tweeter en votre nom ad vitam eternam.

Le quatrième problème, enfin, se trouve entre la chaise et le clavier. Après 15 ans de Web grand public les utilisateurs n’ont toujours pas compris qu’ils ne devaient pas faire confiance à la première application venue, surtout si elle leur propose de virtuellement enlarger leur pénis.

Perry the Platypus wants you to subscribe now! Even if you don't visit my site on a regular basis, you can get the latest posts delivered to you for free via Email: