Facebook : faille sur les profils privés, l'exploit en vidéo (MàJ)

Faye ! 243
Mise à jour mercredi 24 juin : le site FBhive vient de publier une vidéo expliquant combien il était facile d'exploiter ce bug (corrigé). En clair, il suffisait d'utiliser l'extension Firefox Tamper Data qui permet de modifier des variables sur une page HTML active. Après installation du module, on se plaçait sur la page d'un profil où les données ne sont pas privées. Et sur Tamper Data, on remplaçait le paramètre de l'utilisateur en cours (profile_ID) par celui de l'utilisateur visé. Automatiquement, ses informations cachées devenaient alors publiques. L'explication en images qui bougent :




Première diffusion mardi 23 juin
Le tout récent FBHive.com, qui couvre l’écosystème Facebook, affirme avoir découvert une faille de sécurité dans le réseau social. Cette faille, dont ils ne donnent volontairement aucun détail technique, permet de découvrir toutes les données privées du profil de n’importe quel utilisateur Facebook. À titre d’exemple, le site a dévoilé un temps les informations cachées de plusieurs personnalités du Web comme celles du fondateur et CEO de Facebook, Mark Zuckerberg, de Kevin Rose, créateur de Digg, etc. Le blog Techcrunch a d’ailleurs fait un test, concluant.


« Nous ne sommes pas des personnes malveillantes, et nos compétences sont loin d'être avancées, affirment les créateurs de FBHive, nous sommes des fans de Facebook, mais quand un trou de sécurité aussi grand que celui découvert est porté à l’attention de Facebook, cela ne devrait pas prendre 15 jours pour être réparé. » La faille avait été découverte le 7 juin dernier, mais devant la passivité de Facebook, FBhive menaçait de dévoiler plus d’informations techniques. Depuis, la société américaine est sortie de sa torpeur et a colmaté ce qu’elle nomme « un bug » en jurant par ailleurs « nous n’avons aucune preuve qui nous suggère qu’il a été exploité à des fins malveillantes ».

La brèche serait similaire et même plus simple que celle trouvée en 2007 toujours sur Facebook : à l’époque il suffisait d’effectuer une recherche avancée en mentionnant par exemple « John Smith Catholique » : si le site répondait que ce profil était privé, c’est que la mention catholique apparaissait bien à l’intérieur. Si le site répondait que le profil était inexistant, c’est que John Smith avait renseigné une autre religion... Un pont doré pour cibler des renseignements sur les convictions de chacun.