Entre vrais bugs et coups de panique, quand Facebook défaille

Sur Facebook, la chasse au “glitch” –comprenez faille ou “bug“ en franglais dans le texte– fait fureur chez certains hackers. La publication de messages apparemment privés sur les “timelines“ (journaux de bord) de certains internautes signalée depuis hier en France en était-elle un? Pour l’instant, le groupe de Mountain View le dément. Mais qu’ils s’agisse d’erreurs de codages, de failles exploitables à des fins malveillantes ou bien de simple bruits alimentés par les craintes pour les données privées inspirées par le site aux 900 millions d’utilisateurs, Facebook connaît ce genre de désagréments depuis plusieurs années. En voici quelques exemples, ainsi qu’un moyen développé par Facebook pour tenter d’y remédier.• Espionner la messagerie instantanéeEn mai 2010, des failles dans la sécurité autorisent des gens à lire le contenu des messages instantanés ou “chat“. Facebook y remédie rapidement.• Fuites via des applicationsUn an plus tard, en mai 2011, la société de sécurité informatique Symantec signale une fuite massive de données via des applications sur Facebook. Des tiers, et surtout des publicitaires peuvent accéder à des données privées, notamment des photos et des messages échangés par \"chat\". Une fois de plus, la réponse du réseau sociale est rapide.• Failles “XSS“ et CSRF“Régulièrement, deux types de failles se font jour sur les sites internet qui peuvent être exploités par les hackers. Facebook ne fait pas exception. \"Les failles XSS se répartissent en deux catégories: les \'reflected\'(non persistantes) où l\'internaute doit cliquer sur un lien pour se faire infecter (elles sont donc moins dangereuses) et les permanentes qui permettent d\'infecter l\'internaute sans qu\'il n\'ait besoin de cliquer sur quoique ce soit.\", explique John Jean, consultant en sécurité informatique et directeur de production chez Rentabiliweb.En voici un exemple, détecté par ce spécialiste de la sécurité informatique en 2010: Le premier, “cross-site scripting“ est une vulnérabilité d’un site web qui permet de rediriger l’utilisateur vers un autre site, pour le hameçonner, de voler des informations et d’agir sur la page web attaquée. Les seconds, des “cross-site request forgery“ autorisent le même type de piratage, mais cette fois en utilisant la bonne foi d’un autre utilisateur. L’attaquant fait exécuter à sa victime des requêtes malicieuses sans son consentement. \"L\'idée est par exemple de vous faire réaliser une action sur un site B alors que vous cliquez sur un lien sur un site A. Etant donné que c\'est l\'utilisateur qui déclenche l\'action, cela complexifie la tâche des webmasters\", détail John Jean. En voici un nouvel exemple en vidéo.• Mark dans sa cuisineDébut décembre 2011, des photos personnelles de Mark Zuckerberg étaient publiées sur de nombreux sites. On pouvait voir le fondateur du réseau social dans sa cuisine, en train de jouer avec son chien ou de se préparer des sushis. Les images en question avaient pu être récupérées grâce à une faille rapidement réparée et signalée notamment par le site spécialisé Cnet. Lorsque l’internaute utilisait la fonction “signaler la photo comme inappropriées“ sur une image appartenant à un autre compte que le sien, l’ensemble des photos chargées sur le sites devenaient visibles, même quand leur accès avait été restreint.• Le précèdent finlandaisDécembre 2011, toujours, les utilisateurs finlandais de Facebook s’inquiètent. D’anciens messages apparemment privés sembleraient s’afficher sur leur page de profil comme par magie. Du moins, c’est ce que rapporte un journal finlandais, le Yle Uutiset . Brièvement, au début du mois, le site avait même été rendu inaccessible.Facebook répond alors qu’il n’y a aucun bug. “Nos ingénieurs ont enquêté sur ces cas et découvert que les messages étaient d’anciens messages publiés sur leur “mur“ et qui ont toujours été visibles sur les pages de profil des utilisateurs“, répond le porte-parole du groupe. Un air de déjà vu… Et ce d’autant plus que la panique qui a pris hier parmi les internautes français soulève exactement les questions. Lorsque ces messages ont été postés, les utilisateurs partageaient-ils davantage d’informations sur leurs “murs“ respectifs ? L’usage ayant évolué, n’ont-ils pas tendance à confondre “message privé” et contenu personnel librement partagé sur le profil de leurs amis ?• Opération \"Security Bug Bounty\"Pour mieux se défaire ce ces bugs, Facebook a trouvé une solution simple : employer des “chasseurs de glitch“. L’an dernier, il a ainsi lancé le programme \"Security Bug Bounty“ qui consiste à rémunérer les petits malins qui auront découvert des erreurs de programmation susceptibles d’être exploitées par des hackers. La prime peut aller jusqu’à 7.000 euros.
Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.