Dans la nuit de mardi à mercredi, un petit plaisantin a fait le bonheur de milliers d'internautes en plaçant une publicité pour Windows 7 sur le site anglophone d'Apple iTunes, en raison, semble-t-il, d'une faille XSS. Le problème a vite été réglé par la firme américaine, mais la faille subsiste sur le site français.

Par exemple, en suivant ce lien, on pourrait croire qu'Apple effectue la promotion des T-shirts Rue89. Si si, il s'agit vraiment du site Apple.com/fr, comme on peut le vérifier en cliquant sur un des liens en bas de la page.

Alors forcément, l'URL fait plusieurs dizaines de kilomètres de long, et n'est pas très pratique à faire « buzzer ». Sauf qu'en passant par un réducteur d'adresses web du type u.nu (un des plus courts), on obtient une adresse comme celle-ci : http://u.nu/53sr3. Beaucoup plus simple à relayer pour qui voudra envoyer à ses amis la photo de son bébé, de son chien ou de sa plante verte dans le cadre insolite (ou avantageux, selon les goûts) du site Internet de la marque.

Contactée par Rue89, Apple n'a pas encore donné suite à nos appels. Selon Colin, informaticien à Rue89, ce genre de faille serait plutôt bénigne pour Apple, et même volontaire de la part de la firme, dans la mesure où elle permet à ses clients d'entrer eux-mêmes le nom du titre et de l'artiste qu'ils veulent vendre sur le site iTunes :

« En entrant sur le site, c'est comme si tu parvenais à entrer dans la cour d'un château fort. Mais une fois que tu es dans la cour, tu ne peux pas aller plus loin car les portes sont trop épaisses. »

Reste qu'une pub Windows sur le site de l'« ennemi » de toujours Apple, ça fait tache… La faille ne devrait pas rester longtemps sur le site français.

► Ajout 5/11/2009 13h56 : la faille a été comblée sur le site iTunes France.