Un autre bug Facebook pourrait avoir exposé vos données personnelles

Une autre faille de sécurité a été reportée concernant Facebook et elle pourrait avoir permis aux attaquants d’obtenir certaines informations personnelles sur les utilisateurs et leurs amis, mettant potentiellement la confidentialité du réseau social le plus populaire au monde en danger.

Découverte par des chercheurs en cyber sécurité de chez Imperva, la vulnérabilité réside dans la manière dont la fonctionnalité de recherche Facebook affiche les résultats pour les requêtes entrées.

Selon Ron Masas, chercheur chez Imperva, la page qui affiche les résultats de recherche inclut des éléments iFrame associés avec chaque sortie, là où les URL finales de ces iFrames n’ont pas de mécanismes de protection en place pour protéger contre des attaques CSRF (cross-site request forgery).

Il faut noter que cette vulnérabilité nouvellement rapportée a déjà été patchée, et contrairement à la précédente faille de Facebook qui exposait les informations personnelles de 30 millions d’utilisateurs, elle ne permet pas aux attaquants d’extraire des informations en masse depuis un grand nombre de comptes en une seule fois.

Comment fonctionne la vulnérabilité de recherche de Facebook ?

Pour exploiter cette vulnérabilité, tout ce qu’un attaquant doit faire est simplement de tromper les utilisateurs en leur faisant visiter un site malveillant sur leur navigateur web où ils se sont déjà connectés avec leur compte Facebook.

Le site malveillant contient un code Javascript qui sera exécuté en arrière plan dès que la victime cliquera une première fois sur la page.

« Pour que cette attaque fonctionne, nous avons besoin de tromper un utilisateur Facebook pour qu’il ouvre notre site malveillant et qu’il clique n’importe où sur le site, (cela peut être n’importe quel site tant qu’il peut supporter du Javascript), nous permettant d’ouvrir un pop-up ou un nouvel onglet sur la page de recherche Facebook, obligeant l’utilisateur à exécuter toutes les requêtes de recherche que nous voulons, » Masas a expliqué dans un post de blog publié aujourd’hui.

Comme Masas le montre dans la vidéo ci-dessous, le code Javascript ouvre un nouvel onglet ou une fenêtre avec un URL Facebook qui lance certaines recherches prédéfinies et jauge le résultat pour extraire l’information visée.

Chercher quelque chose sur Facebook parait moins lucratif, particulièrement lorsque le code d’exploit donne un résultat résumé à juste « oui » ou « non ».

« Dans les faits, l’attaque fait fuiter le nombre de résultats de recherche pour toute requête faite sur le compte Facebook connecté. L’usage le plus basique de cela est de faire des requêtes booléennes comme « photos de moi en Islande », a déclaré Masas au The Hackers News.

Mais si elle est utilisée correctement, la fonctionnalité de recherche de Facebook peut être exploitée pour extraire des données sensibles liées à votre compte, comme pour savoir :

•Si vous avez un ami avec un nom spécifique ou un mot clé dans son nom
•Si vous aimez une page en particulier ou si vous êtes membre d’un groupe spécifique
•Si vous avez un ami qui aime des pages en particulier
•Si vous avez pris des photos dans un certain endroit/pays
•Si vous avez déjà posté une photo prise dans certaines endroits/pays
•Si vous avez déjà posté une mise à jour sur votre fil contenant des termes/mots clés spécifiques
•Si vous avez des amis musulmans

Et ainsi de suite et cela pour n’importe quelle requête imaginable.

« Ce processus peut être répété sans ouvrir de nouveaux pop-up ou onglets puisque l’attaquant peut prendre le contrôle de la propriété de localisation de la fenêtre Facebook, » a ajouté Masas. « Cela est particulièrement dangereux pour les utilisateurs sur mobile, puisque l’onglet ouvert peut facilement se perdre en arrière plan, permettant à l’attaquant d’extraire les résultats pour de multiples requêtes, alors que l’utilisateur regarde une vidéo ou lit un article sur le site de l’attaquant. »

En résumé, la vulnérabilité exposait les intérêts et les activités des utilisateurs ciblés et de leurs amis même si leurs paramètres de confidentialité sont réglés de telle sorte que ces informations ne puissent être visibles que par eux ou leurs amis.

Dans une démarche responsable, Imperva a rapporté le bug à Facebook via le programme de report de vulnérabilité de l’entreprise, en mai 2018, et le géant des réseaux sociaux a résolu le problème quelques jours plus tard en ajoutant des protections CSRF.

Il y a presque 3 mois, Masas a aussi rapporté une énorme vulnérabilité des navigateurs web qui exposait tout ce que d’autres plateformes du web, comme Facebook et Google, connaissent sur vous. Il a aussi sorti une preuve de concept du bug.