Facebook corrige rapidement une faille, permettant de supprimer toutes les photos

Un chercheur en sécurité a alerté Facebook d’une faille de sécurité autorisant un tiers à supprimer les photos publiées sur Facebook en passant par une faille du Graph API.

Elle a été corrigée deux heures après avoir été signalée.

12.500 dollars (environ 11.000 euros) de récompense pour le chercheur .

[quote]’N’importe quel album détenu par un utilisateur ou une page ou un groupe pouvait être supprimé’ explique le chercheur Laxman Muthiyah.[/quote]

Cette faille, il précise l’avoir identifiée en analysant une API de Facebook, Graph API qui permet aux sites et applications de puiser dans les données du réseau social.

En principe, l’API ne permet naturellement pas à un individu de supprimer les photos d’un tiers, mais le chercheur, en modifiant le token d’authentification sur son téléphone Android, a pu supprimer un album dont il ne détenait pourtant pas les droits.

Il faut cependant relativiser le risque.

Toutefois, cette action supposait que l’attaquant détienne l’ID de l’album ciblé (identifiant l’autorisant aussi à lire et écrire dans cet album) et donc a priori que celui-ci soit public.

La vulnérabilité, jugée sérieuse par l’équipe sécurité de Facebook, a été corrigée rapidement et elle s’accompagne d’une récompense de 12.500 dollars pour Laxman Muthiyah.

Ce dernier bénéficie en effet du ‘programme de sécurité du réseau social‘.