Rui Wang et Zhou Li, deux étudiants conduisant des recherches en sécurité informatique, ont trouvé il y a quelques semaines une vulnérabilités dans le cœur même de Facebook. Cette faille autorisait un site malicieux à récupérer vos données personnelles et à contrôler votre mur.





Il faut l'avouer, j'ai régulièrement défendu la sécurité de Facebook sur ce blog. La plupart du temps quand une new au titre "Facebook piraté" ou "nouvelle vulnérabilité sur Facebook" il s'agissait en réalité d'un éditeur externe nul en programmation ou malicieux.
Cette fois-ci, ce n'est pas le cas. Il s'agit bien de Facebook qui était vulnérable...mais avec le concours d'application externe. La différence avec les autres "piratages" de facebook? Suivez bien...


Donc il y a deux semaines en gros, Rui Wang et Zhou Li déclarent à un éditeur de logiciel de sécurité qu'ils pensent avoir découvert une vulnérabilité permettant à un site internet malicieux d'accéder aux informations personnelles des utilisateurs du réseau social...sans leur demander directement l'autorisation (1ere différence avec les hacks précédents).
En effet, il était possible pour tout site de prendre la place (spoofer dans le jargon) de n'importe quel autre site que vous aviez autorisé. Par exemple si vous vous connectiez à Youtube avec votre compte Facebook, un pirate pouvait utiliser cette autorisation pour accéder aux données votre compte.

Plus fort encore, les deux chercheurs ont trouvé le moyen de publier n'importe quel contenu, sur le mur de la victime, exposant ainsi tous ces amis à un nouveau risque d'infection. Le contenu publié était de plus signé du sceau du site légitime (youtube dans notre exemple).


La vidéo ci-dessous montre la preuve de concept (PoC) de cette vulnérabilité, en utilisant la connexion du site ESPN (un genre de L'Equipe) :

Aujourd'hui le danger est écarté, grâce au responsible disclosure pratiqué par les deux étudiants. Les équipes en charge de la sécurité sur Facebook ont corrigé rapidement la faille.


Même si la plupart du temps, les fuites d'informations sur Facebook sont dues à l'incompétence/naïveté de ses partenaires/utilisateurs, il ne faut pas oublier que le réseau social est plus long et complexe que trois lignes de code. Alors forcement ce genre de faille arrive. La dernière en date étant la possibilité d'accéder à n'importe quel profil à partir du chat.Seulement la particularité de Facebook, c'est le caractère précieux des informations personnelles de plus de 500 millions d'êtres humains : toute brèche à des impacts très important.

Vous pouvez donc utiliser sereinement FB, mais pas n'importe comment!