LE POST
Facebook | DR
"En une journée, nous aurions pu recueillir les données personnelles de centaines de milliers de personnes sur Facebook."
Les révélations de John Jean, expert en sécurité informatique, font
froid dans le dos.
"Vu que Facebook était beaucoup décrié ces derniers temps, j'ai fait un audit rapide de 15 jours cet été. Ça a été suffisant pour découvrir deux vulnérabilités", raconte au Post le
consultant de Wargan Solutions.
"On a fait un petit calcul. En une dizaine d'heures, on aurait pu recueillir les données de 200.000 personnes en exploitant ces vulnérabilités, si l'on considère que les utilisateurs ont en
moyenne 300 amis et que la moitié clique sur un lien envoyé", précise au Post le consultant de Wargan Solutions.
Et encore, c'est une fourchette basse "sachant que des gens ont beaucoup plus d'amis"...
Bref, avec un scénario catastrophe, un internaute mal intentionné aurait pu mettre à nu toute la communauté de Facebook en quelques jours...
"Je n'ai pas exploité cette faille, c'est une question d'éthique", souligne John Jean.
C'est quoi le problème ?
Si le CSRF et le XSS vous disent quelque chose, rendez-vous sur l'article publié par John Jean sur le site de
Wargan. Si vous ne parlez pas le geek, on va essayer de vous expliquer simplement.
"La première faille concerne la redirection, plus précisément la page qui vous annonce que vous allez quittez Facebook lorsque vous cliquez sur un lien qu'un ami a publié sur son mur", explique
John Jean.
"La seconde concerne le bouton 'like' permettant aux utilisateurs de dire qu'ils 'aiment' une publication."
Dans les deux cas, "des paramètres mal analysés par Facebook peuvent être détournés de leur usage initial", poursuit l'expert en sécurité. Ils permettraient de créer un "ver", un script
malveillant dont le but serait de récupérer vos données personnelles.
Ce ver pourrait prendre la forme d'une appli Facebook, comme l'a imaginé John Jean :
"Il suffit de créer une fausse application, par exemple celle permettant de faire des quizz. Quand la personne clique sur l'appli, je récupère ses infos personnelles. Ensuite je peux modifier son
email et son mot de passe pour prendre possession du compte. Pour finir, je publie sur le mur de la victime et de tous ses contacts un message disant 'regardez c'est génial, cliquez'. Des amis
cliquent, l'appli récupère leurs données... et ainsi de suite."
Cette vidéo réalisée par John Jean vous permet de visualiser le déroulement de l'attaque:
C'est grave docteur ?
Plutôt oui !
Mais rassurez-vous, John Jean n'est pas un pirate. Il a signalé ces vulnérabilités à Facebook mi septembre.
Une semaine après, le réseau social confirmait le problème, qui était résolu la semaine suivante, soit le 29 septembre, d'après le calendrier publié sur le site de Wargan.
Aujourd'hui, votre compte ne craint plus rien. Jusqu'à ce qu'un autre trouve une faille...
En attendant, le nom de John Jean figure désormais sur la page Facebook dédiée à la sécurité du site, où sont remerciés ceux
qui ont participé à améliorer le système.