Le plus surprenant dans cette affaire est probablement que ce problème est longtemps passé inaperçu, ou du moins n'a pas été réellement éventé jusqu'à ce qu'un chercheur en sécurité et PDG de Secfence Technologies ne procède mercredi à une divulgation publique. Une découverte fortuite qui a donné lieu à la création d'une preuve de concept pour automatiser un processus de collecte d'informations personnelles.
Atul Agarwal a découvert qu'en dépit de tout réglage optimal des paramètres de confidentialité, il est possible d'obtenir de Facebook des réponses intéressantes alors que lors d'une tentative de connexion au réseau social un mot de passe erroné a été saisi. L'adresse e-mail est par contre bien valide. Avec cette combinaison qui ne devrait théoriquement rien donner, Facebook finit par donner accès à l'identification complète ( nom et prénom ) ainsi qu'à la photo du profil de l'utilisateur détenteur de l'adresse e-mail.
Pour Atul Agarwal, ce comportement qui fait donc fi des paramètres de confidentialité peut avoir une réelle utilité pour les adeptes d'attaques par phishing afin d'obtenir plus d'informations au sujet du propriétaire d'une adresse e-mail qu'il sera forcément plus facile de piéger en ayant connaissance de son nom réel. Une autre utilité est le fait de pouvoir vérifier la validité d'une adresse e-mail.
Ce problème finalement moins anodin qu'il n'y paraît au premier abord vient d'être corrigé par Facebook. Un " bug temporaire " et " récemment introduit " selon le réseau social qui compte plus de 500 millions de membres.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.