Sécurité : Facebook corrige une faille critique

Facebook a corrigé la faille qui permettait d’accéder aux informations des profils des utilisateurs… après qu’un site en ait fournie la preuve en ligne.

Le site FBHive.com rapportait, le 22 juin, avoir découvert une faille majeure de la plate-forme Facebook. Selon les auteurs, un simple hack permettait d’avoir accès aux informations du profil de tous les utilisateurs, quels que soient les paramètres de confidentialités sélectionnés.

La section « informations » des comptes comprennent le patronyme, la date et lieu de naissance, le sexe, la situation familiale, professionnelle, la religion et différentes données propres à la personnalité des utilisateurs (intérêt, activités, goûts musicaux, etc.). Autant de données susceptibles d’intéresser autant les pirates que les agences marketing.

Une faille que FBHive avait rapporté à Facebook le 7 juin et qui a finalement été corrigée hier, mardi 23 juin, après la publication de l’article. Le site de réseautage a d’ailleurs demandé à FBHive de retirer les captures d’écran apportant la « preuve » de l’exploitation de la faille.

Pour y parvenir, FBHive s’est contenté d’utiliser Tamper Data, une extension Firefox permettant de modifier les requêtes web (http/https), pour accéder aux informations de Mark Zuckerberg, le créateur de Facebook. Vidéo de démonstration à l’appui.

La faille est donc désormais corrigée. Elle n’en démontre pas moins les risques que les internautes encourent à fournir des informations sur leur vie privée ou professionnelles qui peuvent ainsi sortir du seul cercle des « amis » Facebook. FBHive a également mis en évidence la faiblesse de la plate-forme dont les dirigeants assurent régulièrement la fiabilité de la sécurité des paramètres de personnalisation.

___

AGENDA : conférence Web en direct, mardi 7 juillet. IBM et la rédaction de Silicon.fr vous invitent à participer à une table ronde en ligne sur le thème : « Messagerie, conférence web et outils collaboratifs : quels enjeux ? Quelles solutions ? Quelle alternative en ‘live’ ou ‘SaaS ? ». Organisé autour d’un témoignage client, ce « web-séminaire » de 50 mn, en direct sur Internet, débutera le mardi 7 juillet prochain, à 11H. Renseignements, inscription ; réagissez sur le sujet, posez vos questions, cliquez ici