Publié le 27-04-2021
Facebook a préféré ignorer une nouvelle faille découverte par un chercheur
Un chercheur a démontré la viabilité d’un outil permettant de voler jusqu’à cinq millions d’adresses par jour sur Facebook. Lorsqu’il en a fait part au réseau social, ce dernier n’a pas jugé utile de résoudre le problème, rapporte le site Ars Technica.
Un chercheur a découvert une faille sur Facebook, qui selon lui permettrait de lier jusqu’à cinq millions d’adresses email à leur compte respectif par jour. Lorsqu’il en a fait part à l’entreprise américaine, celle-ci lui a répondu ne pas trouver la faille assez «importante» pour être corrigée, révèle le site spécialisé Ars Technica.
Le 20 avril, le chercheur, souhaitant rester anonyme, a révélé la méthode de fonctionnement d’un outil baptisé «Facebook Email Search v1.0». «J'ai dépensé peut-être 10 dollars pour acheter quelque 200 comptes Facebook. Et en trois minutes, j'ai réussi à faire cela pour 6.000 comptes», explique-t-il dans la vidéo, laquelle a été consultée par Ars Technica.
Il n’est pas encore certain que cet outil ait permis d’établir une base de données conséquente, mais cela ne serait pas surprenant, indique le site. «Je pense qu’il s’agit d’une vulnérabilité assez dangereuse, et j’aimerais que l’on m’aide à y mettre fin», estime quant à lui le chercheur.
Réaction de Facebook
Ce dernier a d’abord contacté le géant américain afin qu’il résolve le problème. «Malgré le fait que j'en ai fait la démonstration à Facebook et que je les ai sensibilisés, ils m'ont dit directement qu'ils ne prendraient pas de mesures contre elle [la faille]», s’étonne-t-il.
Ars Technica, qui a contacté un porte-parole de Facebook, a obtenu la déclaration suivante: «Il semble que nous ayons fermé par erreur ce rapport de vulnérabilité avant de l’acheminer vers l’équipe appropriée. Nous apprécions que le chercheur partage ces informations». Ils indiquent également prendre «des mesures pour atténuer cette faille» et «analyser le problème pour mieux comprendre ce qui se passe».
Gestion des failles
Sujet à plusieurs fuites massives de données ces derniers mois, notamment celles de quelque 500 millions d’utilisateurs en janvier dernier, Facebook se trouve sous le feu des critiques pour la gestion de ces problèmes. En avril, l’un de ses porte-parole a indiqué auprès de la radio publique américaine NPR qu’il ne prévoyait pas d’avertir individuellement les utilisateurs en cas de fuite de données.
Récemment, le site belge Data News a obtenu par erreur un mail interne de Facebook adressé à des collaborateurs de l’entreprise. Il révèle une stratégie de communication consistant à faire passer le vol de données pour un problème sectoriel plutôt qu’un manquement du côté de Facebook.
«Cela pourra refléter certes une grande partie des activités de "scraping" [extraction de données, ndlr], mais nous espérons que cela aidera à normaliser ce type d'incidents comme étant courants et d'empêcher la critique selon laquelle nous ne sommes pas transparents en la matière», écrivait alors le réseau social.
WhatsApp et Instagram
Outre Facebook, ses autres services Instagram et WhatsApp ne sont pas épargnés par des problèmes récurrents. En septembre dernier, des experts en cybersécurité avaient exposé une faille permettant à un hacker de prendre le contrôle d’un téléphone à distance grâce à Instagram. Ce mois-ci, deux chercheurs ont révélé la possibilité de désactiver un compte WhatsApp en détournant le système d’identification à deux facteurs.
Ces multiples problèmes ont visiblement engendré la méfiance des utilisateurs. En janvier, lorsque WhatsApp a annoncé partager les données de ses utilisateurs avec sa maison-mère Facebook, nombre d’entre eux ont migré vers d’autres services de messagerie, notamment Telegram. En conséquence, WhatsApp a reporté la date de sa mise à jour au 15 mai.
Spoutnik