La faille majeure qui aurait pu coûter cher

Suivez moi sur Twitter

Rejoignez moi sur Facebook

Suivez le flux RSS

Des fois, je me demande quelles conséquences pourraient avoir une grosse faille de sécurité s’il n’y avait pas des développeurs pour s’en apercevoir à temps. Yvo Schaap, un jeune développeur hollandais de 24 ans, vient en effet de découvrir en utilisant différentes API qu’une importante faille de sécurité menaçait à la fois Facebook et MySpace. Ce manquement permet en effet tout simplement aux hackers de récupérer toutes les données de votre compte (incluant vous photos, coordonnées, messages personnes, et j’en passe) sans même que vous puissiez vous en apercevoir. « Mais comment cela peut-il m’arriver », me direz-vous ? Et bien tout simplement en utilisant le cookie de connexion automatique et en visualisant un élément en flash (ce qui est bien plus courant que vous le pensez, croyez-moi). Il semblerait même que le simple fait de voir afficher un élément dans la timeline suffise à rendre vos données exploitables, ce qui rend presque indéniable votre vulnérabilité. Dès que la faille a été officialisée, le site américain TechCrunch a contacté Facebook et a obtenu pour réponse : « La sécurité vis-à-vis de notre utilisateurs est une priorité et nous travaillons avec le chercheur qui a identifié la faille pour la réparer. Nous n’avons pas reçu de report selon lequel cette faille aurait déjà été exploitée ». Le problème majeur est que, selon Yvo Schaap, l’exploitation de cette faille ne laisse pas la moindre trace, et vos données sont peut-être déjà toutes stockées bien précieusement par des personnes malveillantes. Il semblerait au moment où j’écris cet article que MySpace ait déjà réglé le problème et que Facebook en soit proche, ce qui est plutôt rassurant. Reste maintenant à attendre afin de connaître les conséquences de cette faille, avec comme petit réconfort l’idée que si des données avaient été volées ces derniers temps, il y a de grandes chances pour qu’elles eussent déjà été exploitées. Plus de peur que de mal donc, mais ce n’est pas la première fois que Facebook et MySpace se laissent surprendre par ce genre de menaces, preuve qu’il y a peut-être un travail supplémentaire à apporter en termes de sécurité.