Plus de 350 millions de photos sont publiées sur Facebook chaque jour. Il serait très difficile de les récupérer si une personne malveillante décidait d’exécuter une commande pour supprimer les albums des utilisateurs. Mais c’est exactement ce qu’une faille de sécurité de Facebook a permis à ? elle a été découverte par le chercheur en sécurité Laxman Muthiyah et rapidement corrigée par le réseau social.
Muthiyah a découvert le problème en travaillant avec l’API graphique, qui est également utilisée par les applications mobiles de Facebook pour supprimer les albums photos du réseau social ? mais évidemment ses albums, pas ceux des autres utilisateurs. LeNaked Security décrit la faille, qui pourrait être exploitée avec une simple requête HTTP de quatre lignes. Ainsi :
SUPPRIMER / album de la victime HTTP/1.1Hôte : graph.facebook.comContenu et longueur : 245access_token=token-of-access-attacker
Les identifiants des albums photos de Facebook sont des numéros séquentiels, donc n’importe qui ayant des compétences de base en programmation aurait pu facilement créer un code pour effacer des centaines, des milliers ou des millions de photos en masse jusqu’à ce que Facebook réalise que quelque chose ne va pas. Le jeton, en revanche, est une chaîne de caractères aléatoire utilisée par les applications pour s’authentifier sur Facebook ; dans le test, Muthiyah a utilisé un jeton Facebook pour Android.
Il est très probable que Facebook disposait déjà d’une protection interne qui empêchait la suppression de milliards de photos en masse, comme une certaine limite sur les demandes d’API, mais ce verrou pouvait être contourné avec un botnet de milliers d’ordinateurs, de serveurs et de smartphones infectés.
Au lieu de continuer à exploiter la faille, de vendre la vulnérabilité sur le marché noir ou de faire chanter Facebook, Muthiyah a décidé de la signaler directement au réseau social, qui a corrigé le problème en deux heures seulement. En guise de récompense, Facebook a versé 12 500 euros à un chercheur de ?, ce qui semble très peu compte tenu de la gravité du problème.