Ron Masas, chercheur en sécurité chez Imperva, a découvert que les résultats de recherche sur Facebook n’étaient pas correctement protégés contre les attaques de falsifications de requêtes intersites (CSRF). En d’autres termes, cela veut dire qu’un site web aurait pu soutirer certaines données sur les profils des utilisateurs Facebook qui auraient eu à ce moment-là leur profil connecté dans un autre onglet.
Ron Masas a démontré comment un site web mal intentionné aurait pu utiliser IFRAME et récolter en silences toutes les informations souhaitées sur les profils. Il déclare que « cela a permis à l’information de traverser les domaines, ce qui signifie essentiellement que si un utilisateur visite un site web particulier, un attaquant peut ouvrir Facebook et recueillir des informations sur l’utilisateur et ses amis ». Il ajoute que les sites internet malveillants auraient pu usurper l’identité des utilisateurs et mettre des « j’aime » sur des pages en particulier. De plus, les sites auraient également pu répondre à des requêtes à leur place. Masas affirme que « la vulnérabilité a exposé les centres d’intérêt de l’utilisateur et de ses amis, même si leurs paramètres de confidentialité étaient définis de telle sorte qu’ils ne soient visibles que par les amis de l’utilisateur ».
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Cette faille est la dernière en date d’une longue série de scandales, qui commencent à coûter cher à Facebook. Pour rappel, celui concernant Cambridge Analytica avait énormément fait parler de lui dû à sa gravité. Par ailleurs, suite à tous ces problèmes de protections de données, le réseau a été mis en cause par une ONG pour non-respect de la loi RGPD. De plus, Margarita Zolotova, porte-parole de Facebook, a déclaré à The Verge que « nous avons corrigé le problème dans notre page de recherche et n’avons constaté aucun abus. Le comportement sous-jacent n’est pas propre à Facebook. Nous avons fait des recommandations pertinentes aux fabricants de navigateurs et aux groupes de normes web concernés afin de les encourager à prendre des mesures pour empêcher ce type de problème de se produire à nouveau ».
