•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Une autre faille de Facebook compromettait la confidentialité des utilisateurs

Une loupe devant un logo Facebook.

Facebook a connu d'autres problèmes de sécurité en 2018.

Photo : Reuters / Dado Ruvic

Radio-Canada

Un bogue dans l'interface de Facebook permettait jusqu'à récemment à des pirates de s'emparer de vos informations personnelles et de celles de vos amis presque sans laisser de traces, a découvert la firme de cybersécurité Imperva.

Sur son blogue officiel (Nouvelle fenêtre), Imperva indique que des attaquants auraient ainsi pu vérifier si leurs victimes avaient des amis d’une certaine nationalité, si elles avaient déjà pris des photos à certains endroits précis, si elles aiment une page Facebook en particulier ou si elles ou leurs amis avaient déjà publié un message contenant certains mots ou expressions.

La firme s’est aperçue en mai dernier que l’interface de programmation applicative (API) de Facebook était vulnérable à une attaque par requête intersite falsifiée (cross-site request forgery, ou CSRF). Ce type d’attaque se sert d’une connexion légitime pour effectuer des actions non autorisées avec un compte.

Dans le cas de Facebook, pour que l’attaque fonctionne, un utilisateur aurait dû être connecté à Facebook dans Chrome, puis cliquer n’importe où sur un site malveillant. Cela aurait permis à un attaquant d’ouvrir une fenêtre intempestive ou un onglet vers Facebook avant d’y entrer des requêtes dans la barre de recherche dans le but d’extraire des informations personnelles sur la victime et ses amis.

Pas d’attaque détectée

L’entreprise indique qu’il ne s’agit toutefois pas d’un type d’attaque courant. Imperva a secrètement divulgué l’existence de la faille à Facebook en mai dernier, après l’avoir découverte, comme le veulent les bonnes pratiques dans le domaine de la cybersécurité.

Facebook a depuis réglé le problème et a indiqué ne pas avoir détecté d’utilisation malveillante du bogue.

Le réseau social prévient cependant que d’autres sites pourraient être touchés par le même type d’attaque. Il a donc averti les concepteurs de fureteurs web et les organisations qui définissent les standards d’Internet pour qu’ils mettent en place des moyens de défense appropriés contre les attaques par CSRF.

De nombreuses fuites

Facebook a connu d’autres déboires en matière de confidentialité ces derniers mois. En début d’année, on apprenait que Cambridge Analytica, une firme d’analyse de données impliquée dans la campagne présidentielle de Donald Trump et dans celle du Brexit, avait indûment obtenu des données issues de Facebook.

Une cyberattaque plus récente a également compromis les données de dizaines de millions d’utilisateurs.

Avec les informations de The Verge, et Techcrunch

Réseaux sociaux

Techno