Passer au contenu

Facebook : un bug aurait pu être exploité par des sites tiers pour accéder à vos données

Une vulnérabilité, découverte au mois de mai dernier, laissait la possibilité à un acteur malveillant de siphonner vos goûts et centres d’intérêts, même si votre compte était verrouillé. La faille a depuis été corrigée.

On ne compte plus les fuites de données personnelles qui ont affecté Facebook ces derniers mois, dont la plus célèbre demeure l’affaire Cambridge Analytica. Cette semaine, un bug permettant à des sites tiers d’accéder aux « likes » et aux préférences des utilisateurs a été révélé par le chercheur en sécurité Ron Masas, comme le rapporte TechCrunch. L’expert, qui travaille pour la société Imperva, a fait cette découverte au mois de mai dernier et l’a signalée à Facebook en toute discrétion. Le réseau social l’a corrigée quelques jours plus tard et a versé deux primes à l’expert. Facebook assure aujourd’hui que personne ne l’aurait exploitée. Voici ce à quoi nous avons échappé.

Religion, liste d’amis, de nombreuses informations auraient pu être extraites

Il s’agit d’une faille CSRF (Cross site request forgery), qui consiste peu ou prou pour un acteur malveillant à faire exécuter une action à l’insu d’un utilisateur. En l’occurrence, sur Facebook, il était possible d’imbriquer une nouvelle page web dans le moteur de recherche du site grâce à un iframe, un simple élément HTML. Il aurait fallu ensuite attirer des utilisateurs déjà identifiés sur un nouvel onglet piégé comportant plusieurs requêtes de recherche capables de renvoyer des oui ou des non lorsqu’un internaute aime une page.

On voit dans cette vidéo la procédure pour récupérer les fameux « like »

S'abonner à 01net

Il aurait été possible d’extraire pas mal d’informations de cette manière : goûts, liste d’amis, religion, ville et même le contenu de certains messages. Le tout sans jamais demander un mot de passe ni tenter de se connecter à un profil.

Ce problème n’est pas propre à Facebook. Mais compte tenu de la masse d’abonnés au réseau social, il aurait pu être exploité par des agences de publicité. « Nous avons formulé des recommandations à l’intention des navigateurs et des groupes de standards du Web concernés pour les encourager à prendre des mesures afin d’empêcher ce type de problème de se reproduire dans d’autres applications Web », a déclaré la porte-parole de Facebook, Margarita Zolotova, dans un communiqué.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

AC
Les dernières actualités
Nintendo Switch
Nintendo : des Joy-Con magnétiques pour la Switch 2 ?
Smartphone Mains
Apple supprime des apps IA permettant de « dénuder » n’importe qui
Le démarchage téléphonique est désormais limité par de nouvelles règles entrées en vigueur le 1er mars dernier. appel telephone
Face au démarchage téléphonique, les Français ne prennent plus les appels des numéros inconnus
Iphone 14 Ifixit
Apple est accusée d’exploiter des « minéraux de conflit »
Shein site web textile plateforme
Shein, sous contrôle renforcé de l’UE, a quatre mois pour montrer patte blanche
Aptoide
Un magasin d’application alternatif célèbre sur Android arrive sur iPhone
Site Pirate Streaming Illegal
Torrent : dopé à l’IA, ce moteur de recherche anonyme est impossible à stopper
Glance
Un premier pas vers les pubs sur l’écran de verrouillage de smartphones Android pas chers aux États-Unis
Top téléchargements