Un bug de Facebook communique vos noms et photos de profil
Une erreur de design de la page d'identification de Facebook permet à n'importe qui de récupérer les nom, prénom et parfois l'image de profil associés à une adresse email.Le chercheur en sécurité Atul Agarwal a envoyé sur la mailing list Full Disclosure un petit script PHP utilisant un bug de la page d'identification Facebook : lorsque la combinaison email et mot de passe ne correspond pas, le site renvoie sur une page affichant le prénom, le nom, et parfois l'image de profil correspondant à ce mail.
Le chercheur en sécurite Atul Agarwal a envoyé sur la mailing list Full Disclosure un petit script PHP utilisant un "bug" de la page d'identification Facebook : lorsque la combinaison email et mot de passe ne correspond pas, le site renvoie sur une page affichant le prénom, le nom, et parfois l'image de profil correspondant à ce mail. Les autres rapports indiquaient que la photo de profil était toujours affichée, mais un test ne nous la montre pas. C'est peut-être un début de correction du problème par Facebook, ou des paramètres différents.
Le script permet de récupérer ces informations pour une liste de courriels. Le chercheur estime que vu le succès de Facebook, au moins la moitié de cette liste pourra être associée à un vrai nom. C'est évidemment un problème de confidentialité important, puisque de tels scripts peuvent être utilisés pour préparer un envoi de spams personnalisés, ou des attaques de phishing.
De plus ce n'est pas vraiment une faille de sécurité, « it's not a bug, it's a feature » : Cette fonctionnalité étant censée permettre à un utilisateur de vérifier qu'il a entré le bon mail, avant de s'acharner à retaper son mot de passe pour rien.
Le problème est que, quels que soient vos paramètres de confidentialité, Facebook continuera à communiquer votre vrai nom à n'importe qui possédant votre adresse mail. Seule la photo de profil sera protégée par vos configurations.
Le chercheur affirme dans son mail ne pas avoir signalé le problème à Facebook, ne sachant pas s'il devait le qualifier de "faille", de "bug" ou de "fonctionnalité".
Mais Facebook est au courant, et a déclaré à ComputerWorld travailler sur le problème. Selon la représentante du site, c'est un bug introduit récemment qui est à l'origine de ce qui serait bien une faille de confidentialité.
(MàJ) : Facebook a maintenant corrigé la faille. Le nom ne s'affichera plus que si ce compte s'est déjà connecté sur cet ordinateur.
source : pcinpact.com
