Un homme a trouvé le moyen d’effacer n’importe quelle photo publiée sur Facebook

À l’heure où tout, ou presque, se retrouve sur un serveur, quelque part sur la planète, la sécurité numérique est plus que jamais au centre des préoccupations. Et parce que rien n’est
jamais véritablement sécurisé, même les plus grands services connaissent leurs petits tracas. Un expert vient ainsi de réussir à supprimer n’importe quelle photo publiée sur Facebook.

Et pour s’éviter de sérieux problèmes, le réseau social a mis en place il y a plusieurs années déjà un système de récompense. Les experts et autres hackers peuvent alors faire part des bugs qu’ils trouvent et se voir offrir une récompense substantielle par Facebook. C’est exactement ce qui est arrivé avec la découvert de ce chercheur en sécurité informatique.

Laxman Muthiyah s’intéressait à l’API Graph de Facebook. Il s’est demandé ce qui se passerait si vos photos étaient supprimées sans votre consentement :

« J’ai décidé d’essayer avec le jeton d’accès de Facebook pour mobile parce qu’on peut voir l’option supprimer pour tous les albums photo dans l’application mobile Facebook. Oui et aussi parce qu’elle utilise la même API Graph. Alors j’ai pris l’id d’un album [quelconque] et mon propre jeton d’accès pour Facebook Android et j’ai essayé. »

Pour information, le jeton d’accès est une chaîne de caractère permettant l’accès au profil d’un utilisateur. Un tel jeton est généré de manière unique par Facebook pour chaque accès par une application tierce, par exemple. Une fois en possession de son jeton et de l’id d’un album photo, notre homme a envoyé une requête « DELETE / » – de suppression, donc – aux serveurs de Facebook. La réponse ne s’est pas fait attendre, l’album était supprimé, définitivement.

Laxman Muthiyah aurait pu faire énormément de dégâts en exploitant ce bug. Les id des albums étant générés de manière séquentielle, il aurait par exemple pu supprimer toutes les photos de tous les utilisateurs de Facebook… ou prendre Facebook en otage ! Mais il ne l’a pas fait. Au lieu de cela, il a immédiatement contacté la firme de Menlo Park, laquelle aura corrigé le problème dans les deux heures, le gratifiant au passage d’une jolie petite prime, 12 500$ (11 000€). Ils auraient pu (dû ?) l’embaucher immédiatement !

Source  : Gizmodo