C'est Nir Goldshlager, un spécialiste de la sécurité en ligne qui révèle son exploit sur son blog personnel et qui prétend ainsi être en mesure de prendre le contrôle total de n'importe quel compte Facebook.

piratage facebook  Nir précise que le hack ne nécessite pas l'installation d'un malware sur le PC de la victime et qu'il fonctionne sous n'importe quel navigateur.

Et la faille semble d'envergure, puisqu'il apparait qu'elle alloue un contrôle total sur le compte utilisateur Facebook, laissant le hacker disposer de l'ensemble des données du compte : adresse, photos, messagerie, profil complet, adresse mail, téléphone, et éventuellement compte bancaire via le système de paiement intégré à Facebook.

La faille interviendrait au niveau du module OAuth, un service utilisé par Facebook pour communiquer entre les applications et les utilisateurs. Ainsi, lorsqu'une application doit prendre un contrôle partiel sur le compte d'un utilisateur ( pour autoriser le partage de messages par exemple ), l'utilisateur est amené à cliquer sur une boite de dialogue pour accepter ces conditions.

Et c'est à ce moment que l'exploit intervient puisque Nir aurait trouvé un moyen lui allouant les permissions totales via ce module, et sans même que l'utilisateur n'ait installé d'application. Mais toutes les applications ne nécessitent pas d'accepter quoique ce soit pour prendre partiellement le contrôle sur le compte des utilisateurs. Une faille qu'a exploité Nir dans le but de démontrer et d'exposer le problème de sécurisation.

Le hacker propose sa méthode de raisonnement, ainsi qu'une vidéo démontrant l'exploitation de la faille. Entre temps, Facebook aurait été averti du problème et a heureusement immédiatement comblé la faille.

Malgré les efforts du réseau social pour sécuriser les données de ses utilisateurs, tout système de protection est faillible, et il ne tient qu'à chacun de sécuriser ses données en commençant par ne pas les confier de façon trop crédule à quelconque plateforme connectée.