Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Facebook : un bug permettant de supprimer les albums photo a été signalé
Il a été corrigé dans les deux heures suivant l'alerte

Le , par Michael Guilloux

21PARTAGES

4  0 
Une vulnérabilité nouvellement découverte dans Facebook aurait pu permettre aux pirates de supprimer les albums photo des utilisateurs du réseau social d'un milliard d'utilisateurs.

Le réseau social de Mark Zuckerberg est probablement l'une des plus grandes bases de données de photos au monde et on compte en milliards, le nombre de photos partagées sur le réseau quotidiennement. Un pirate mal intentionné, ayant donc découvert une telle vulnérabilité, ne se serait pas ennuyé à faire disparaître des albums photo ciblés.

Heureusement pour le réseau social bleu, le bug est tombé entre de bonnes mains. Laxman Muthiyah, l'ingénieur qui a découvert la faille l'a exploitée pour supprimer son propre album et celui d'un utilisateur. Son objectif était de montrer à l'entreprise de Mark Zuckerberg que la faille est bel et bien réelle. « L'album a été supprimé! Donc j'ai obtenu la clé pour effacer toutes vos photos sur Facebook », a déclaré Muthiyah. « Tout album photo appartenant à un utilisateur, une page ou un groupe pourrait être supprimé », a-t-il précisé.

Il est parvenu à supprimer les albums photo en utilisant l'API Graph de Facebook. « API Graph est le principal moyen pour les développeurs de lire et écrire les données des utilisateurs. Toutes les applications Facebook utilisent API Graph. En général, API Graph nécessite un jeton d'accès pour lire ou écrire des données des utilisateurs. » A-t-il écrit.

Muthiyah a été en mesure d'utiliser un jeton d'accès mobile pour l'API, pour supprimer même les albums photo qui n'étaient pas les siens. Il a ensuite publié une vidéo dans laquelle il montre les détails de la vulnérabilité et a informé Facebook de l'existence de la faille.


L'entreprise a réagi promptement de sorte que dans les 2 heures suivant l'alerte, un correctif ait été développé pour colmater la brèche. Elle a en retour versé une prime de 12 500 dollars USD pour récompenser le chercheur pour sa découverte.

Toutefois, Facebook a tenu à préciser les limites de la faille. Le réseau social affirme que le problème ne pouvait pas permettre à quelqu'un de se connecter à un autre compte, ni même visionner certaines parties du compte d'une autre personne. Il précise que le bug n'aurait pu être exploité qu'à condition que le pirate ait accès aux photos, c'est-à-dire seules les photos publiques pouvaient être supprimées.

« Nous avons reçu un rapport sur un problème avec notre API Graph et l'avons rapidement corrigé dans un délai de deux heures de vérification des déclarations. Pour être clair, le déclenchement de ce problème aurait exigé l'ID de l'album photo cible, ainsi que l'autorisation d'afficher l'album, qui est basée sur les paramètres de confidentialité de l'album. » A déclaré un porte-parole de l'entreprise de Mark Zuckerberg.

Sources : Laxman Muthiyah via 7xter, Naked Security

Et vous?

Qu'en pensez-vous?

L'exploitation de la faille aurait-elle pu procurer un meilleur gain?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de agodfrin
Membre régulier https://www.developpez.com
Le 15/02/2015 à 17:05
On devrait plutôt les remercier :-) J'aimerais bien savoir comment ils ont fait.

Moi-même j'aimerais bien savoir comment supprimer mes propres photos ... et surtout les supprimer pour de bon ...
3  0 
Avatar de DarkHylian
Membre habitué https://www.developpez.com
Le 16/02/2015 à 17:00
Citation Envoyé par agodfrin Voir le message
Moi-même j'aimerais bien savoir comment supprimer mes propres photos ... et surtout les supprimer pour de bon ...
Une petite IEM à échelle de la Terre, ça devrait le faire... par contre, ça impliquerai de plus avoir d'électronique pour un petit moment...
0  0