Une vulnérabilité, découverte au mois de mai dernier, laissait la possibilité à un acteur malveillant de siphonner vos goûts et centres d’intérêts, même si votre compte était verrouillé. La faille a depuis été corrigée.
On ne compte plus les fuites de données personnelles qui ont affecté Facebook ces derniers mois, dont la plus célèbre demeure l’affaire Cambridge Analytica. Cette semaine, un bug permettant à des sites tiers d’accéder aux « likes » et aux préférences des utilisateurs a été révélé par le chercheur en sécurité Ron Masas, comme le rapporte TechCrunch. L’expert, qui travaille pour la société Imperva, a fait cette découverte au mois de mai dernier et l’a signalée à Facebook en toute discrétion. Le réseau social l’a corrigée quelques jours plus tard et a versé deux primes à l’expert. Facebook assure aujourd’hui que personne ne l’aurait exploitée. Voici ce à quoi nous avons échappé.
Religion, liste d’amis, de nombreuses informations auraient pu être extraites
Il s’agit d’une faille CSRF (Cross site request forgery), qui consiste peu ou prou pour un acteur malveillant à faire exécuter une action à l’insu d’un utilisateur. En l’occurrence, sur Facebook, il était possible d’imbriquer une nouvelle page web dans le moteur de recherche du site grâce à un iframe, un simple élément HTML. Il aurait fallu ensuite attirer des utilisateurs déjà identifiés sur un nouvel onglet piégé comportant plusieurs requêtes de recherche capables de renvoyer des oui ou des non lorsqu’un internaute aime une page.
On voit dans cette vidéo la procédure pour récupérer les fameux « like »
Il aurait été possible d’extraire pas mal d’informations de cette manière : goûts, liste d’amis, religion, ville et même le contenu de certains messages. Le tout sans jamais demander un mot de passe ni tenter de se connecter à un profil.
Ce problème n’est pas propre à Facebook. Mais compte tenu de la masse d’abonnés au réseau social, il aurait pu être exploité par des agences de publicité. « Nous avons formulé des recommandations à l’intention des navigateurs et des groupes de standards du Web concernés pour les encourager à prendre des mesures afin d’empêcher ce type de problème de se reproduire dans d’autres applications Web », a déclaré la porte-parole de Facebook, Margarita Zolotova, dans un communiqué.