le réseau social était au courant de los angeles faille et n’a rien fait plus tôt


Durant plusieurs années, de nombreux professionals en cybersécurité ont signalé à Fb des problèmes de vulnérabilité de l’outil d’importation de contacts, sans que los angeles firme n’y prête consideration. Rien d’étonnant à aboutir à un piratage de données de plus de 500 hundreds of thousands d’utilisateurs selon eux. Mais les risques pour los angeles plateforme pourraient être grands.

facebook 37 millions utilisateurs france

Crédits : Unsplash / Alex Haney

Plus de 530 hundreds of thousands d’utilisateurs Fb se sont récemment retrouvés avec leurs données personnelles dans los angeles nature et cela aurait pu ne jamais arriver. Selon los angeles plateforme qui a finalement reconnu le problème, tout a été résolu en 2019. Mais ce n’est pas l’avis des chercheurs en cybersécurité…

De multiples problèmes déjà soulevés par le passé

« Je suis sûr que d’autres entreprises transpirent aussi maintenant. Ce n’est pas seulement Fb« , explique à Wired Inti De Ceukelaire, un chercheur belge. Dès 2017, il a signalé à Facebook une faille dans son outil d’importation de contenu. Automobile c’est bien cette fonction qui scanne votre carnet d’adresses pour vous suggérer des personnes que vous connaissez qui est en purpose.

Mais elle n’est pas propre au réseau social de Mark Zuckerberg, dont le numéro a également fuité, et à ses différents services and products comme WhatsApp ou Instagram. De nombreuses plateformes et outils de communique l’utilisent. Celui de Fb a multiplié les soucis au fil du temps, avec à chaque fois los angeles promesse de correctifs apportés. « C’est un thème récurrent pour Fb qui, à chaque fois que los angeles croissance est en jeu, réfléchit à deux fois avant de réparer quelque selected au benefit de los angeles vie privée de l’utilisateur », ajoute l’knowledgeable en cybersécurité.

Lien YouTubeS’abonner à Frandroid

Stressed rappelle que, dès 2013, Fb a été alerté par des chercheurs sur des problèmes similaires. En 2012, une fuite de données depuis l’outil « Téléchargez vos données » avait permis à des hackers de récupérer des données personnelles pourtant non référencées par les utilisateurs (numéros de téléphone, mails notamment). Ils avaient par ce biais activé los angeles fonction d’importation de contacts.

En 2018, l’enquête de los angeles Fee à los angeles coverage de los angeles vie privée du Canada avait conclu que « Fb n’avait pas mis en position de garanties appropriées avant los angeles violation pour protéger les informations personnelles des utilisateurs et non-utilisateurs » qui retrouvaient de fait leurs données en tant que contacts piratés.

Pas une vulnérabilité selon Fb…

Pour Inti De Ceukelaire, le problème est toujours présent. Il est assez easy d’énumérer des numéros de téléphone et d’extraire des informations d’utilisateurs associées by means of los angeles fonction d’importation de contacts. À l’époque, il avait soumis los angeles faille au programme Computer virus Bounty de Fb, mais l’entreprise n’avait pas jugé le problème suffisamment essential pour justifier l’obtention d’une récompense, soit los angeles reconnaissance quelque phase d’un worm délicat pour le carrier.

Fb s’était contenté de répondre que los angeles plateforme pourrait revoir à los angeles baisse le nombre most de soumissions d’importation de contacts par un utilisateur –qui aurait ici los angeles forme d’une attaque d’énumération de numéros de téléphone pour trouver des utilisateurs–, mais que ce n’était pas une vulnérabilité. Il avait également pointé du doigt los angeles fonction « Qui peut me rechercher » dans les paramètres de confidentialité qui pouvait possiblement aller en contradiction, et passer outre, los angeles demande de ne pas divulguer certaines informations de profil réservées à l’utilisateur seulement ou à ses amis.

Par défaut, « Tout le monde » peut vous trouver avec votre mail ou votre numéro de téléphone sur Facebook

Par défaut, « Tout le monde » peut vous trouver avec votre mail ou votre numéro de téléphone sur Fb

Il a fallu attendre 2019 pour que los angeles plateforme ajoute un paramètre « Seulement moi » dans los angeles fonction « Qui peut me chercher ». Mais los angeles fonction par défaut reste « Tout le monde » et il est ainsi toujours conceivable de renseigner votre adresse electronic mail ou votre numéro de téléphone si vous l’avez renseigné pour vous retrouver.

… Mais finalement oui

L’énorme base de données qui a ainsi fuité los angeles semaine passée a donc pu être longuement et simplement préparée. En 2019, le hacker @ZHacker13, qui se présente davantage comme un chasseur de vulnérabilités et un chercheur, avait soumis un rapport de vulnérabilité sur un worm similaire dans l’outil d’importation de contacts d’Instagram. Les pirates pouvaient extraire des données en procédant à une attaque d’énumération de numéros de téléphone automatisée, plus efficace que celle découverte en 2017.

Fb avait répondu « être déjà au courant du problème à los angeles suite d’une découverte interne » et que ce style de vulnérabilités ne présentait qu’un « risque extrêmement faible (…) à moins de déterminer à quel identifiant utilisateur spécifique était lié une adresse mail ou un numéro de téléphone. »

Il air of mystery fallu que Forbes publie un article à los angeles suite de sa découverte pour que Fb reconnaisse finalement son rapport comme légitime et lui verse los angeles high de 4000 greenbacks promise à tout chasseur de insects. « Cela aurait pu permettre à un utilisateur malveillant d’imiter Instagram et de rechercher des numéros de téléphone pour trouver à quels utilisateurs ils appartenaient », avait alors justifié Facebook.

De sérieux risques de poursuites

Mardi dernier, Fb a utilisé los angeles même rhétorique pour expliquer los angeles récente vulnérabilité de son réseau social et los angeles faille qui a permis de récupérer les données de plus de 500 hundreds of thousands d’utilisateurs.

« Nous avons apporté des adjustments pour empêcher les acteurs malveillants d’utiliser un logiciel pour imiter notre software et télécharger de grands ensembles de numéros de téléphone pour voir lesquels correspond aux utilisateurs de Fb », s’est expliqué los angeles plateforme américaine, arguant que les données en fuite n’étaient pas aussi sensibles que des données de santé ou financières, et que rien ne prouvait réellement que les hackers avaient récupéré les données en piratant le système.

Fb a rémunéré, et donc admis, une vulnérabilité dans son outil d’importation de contacts qui s’avère être le même pour Instagram et Fb. Même si l’entreprise guarantee que les incidents sont survenus « avant septembre 2019 » (date de newsletter de l’article de Forbes). Selon Stressed, construire los angeles base de données découverte aurait nécessité plusieurs classes de « grattage » de données, vraisemblablement avant 2018. De quoi laisser los angeles position à l’ouverture d’une enquête un peu partout dans le monde, puisque 20 hundreds of thousands de Français sont aussi concernés.

Source : Unsplash / Tim Bennett

Supply : Unsplash / Tim Bennett

Pour Ashkan Soltani, ancien responsable de los angeles Federal Business Fee américaine, organe de surveillance, il ne fait aucun doute que los angeles prudence de Fb trahit une certaine inquiétude. « Étant donné los angeles façon dont ils essaient d’être si prudents pour indiquer qu’ils n’ont pas été piratés, je pense qu’ils sont probablement très conscients du fait qu’ils pourraient être confrontés à une responsabilité importante », a-t-il expliqué au média spécialisé.





Our Reference

Be the first to comment

Leave a Reply

Your email address will not be published.


*