Le retour de vacances n’est pas facile pour tout le monde, et encore moins pour l’équipe de sécurité de Facebook : en deux semaines, pas moins de deux failles ont été découvertes sur le réseau social, plus un mystère encore non résolu à ce jour.
Supprimer le contenu posté par n’importe quel utilisateur à son insu
Lorsque l’on signale un contenu, Facebook propose de contacter le propriétaire de la publication via un message automatique pour lui demander de la supprimer. Le propriétaire reçoit alors un e-mail avec un lien pour supprimer le contenu en question.
Mais un chercheur indien, Arul Kumar, a trouvé un moyen de détourner le système de Facebook pour supprimer un contenu sans passer par le propriétaire de celui-ci.
En effet, en modifiant quelques paramètres du message automatique contenant le lien de suppression, le pirate peut envoyer ce message à une personne tierce (disons un deuxième pirate, le complice du premier) qui recevra donc le lien pour retirer le contenu à la place du propriétaire…
L’équipe Facebook en charge de la sécurité du réseau social a confirmé la présence de cette faille et réparé la brèche, en récompensant Arul Kumar de 12 500 dollars (environ 10 000 euros). C’était la deuxième fois qu’Arul Kumar reportait un bug.
Le white-hat hacker piraté
Rappelez-vous, il y a quelques semaines, un chercheur white-hat palestinien du nom de Khalil Shreateh s’était servi du compte de Mark Zuckerberg pour démontrer une faille de sécurité.
Il y a quelques jours, ce même Khalil Shreateh s’est vu pirater son compte Facebook ! Toutefois la technique reste encore mystérieuse à cette heure-ci : le pirate s’est-il servi d’une faille Facebook, ou a-t-il simplement utilisé une autre technique comme le social engineering pour s’approprier le compte de Khalil ?
Voilà donc un retour de vacances plutôt agité pour Facebook. Et vous, avez-vous bien préparé votre rentrée ? Pensez à vous équiper d’un logiciel de sécurité à jour pour votre sécurité et celle de votre ordinateur !
Source : Bitefender France, David Sygula