Lorsque vous vous inscrivez à un réseau social, vous vous attendez à ce qu’il tienne ses promesses de confidentialité. Par exemple, si vous dites au réseau social de ne révéler votre adresse e-mail à aucun autre membre, vous vous attendez à ce qu’elle reste privée.

Mais un chercheur en sécurité a détaillé comment il a trouvé un moyen de le savoir * * Adresse e-mail principale de l’utilisateur Facebook, quels que soient ses paramètres de confidentialité, en exploitant une faiblesse du réseau social.

Le chercheur en sécurité Stephen Sclafani a décrit comment il est tombé sur le trou de confidentialité en parcourant d’anciennes listes de diffusion.

L’un des messages qu’il a rencontrés contenait un e-mail de rappel d’invitation Facebook, apparemment envoyé par accident lorsque l’utilisateur a commis l’erreur de suivre les conseils de Facebook d’inviter toute sa liste de contacts sur le réseau social:

Ce qui est intéressant, c’est l’URL cliquable en bas du message d’invitation.

Lorsque Sclafani a cliqué sur le lien, il a été dirigé vers une page d’inscription Facebook déjà remplie avec l’adresse de la liste de diffusion et le nom de la personne w ho a utilisé le lien pour créer un compte:

Sclafani a examiné le lien de plus près et a découvert quelque chose d’intéressant :

Le lien contenait deux paramètres: « re » et « mid »:

Changer le paramètre re n’a rien fait; cependant, la modification de certaines parties du paramètre mid a entraîné l’affichage d’autres adresses. En regardant de plus près le paramètre, sa valeur était en fait une chaîne de valeurs avec « G » agissant comme un délimiteur:

59b63a G 5af3107aba69 G 0 G 46

Seule la deuxième valeur était important. La valeur était un ID associé à l’adresse à laquelle l’invitation a été envoyée au format hexadécimal. L’ID numérique d’un utilisateur Facebook pourrait être mis comme cette valeur et son adresse e-mail principale serait affichée. L’ID numérique d’un utilisateur est considéré comme une information publique et peut être obtenu à partir de la source de leur profil ou via l’API Graph.

En d’autres termes, si vous avez remplacé cette partie du paramètre « mid » par le valeur hexadécimale de l’ID de profil numérique d’un autre utilisateur Facebook, son adresse e-mail principale s’afficherait.

Les ID de profil Facebook ne sont pas secrets. Vous pouvez les obtenir facilement via des sites comme Find My Facebook ID ou à partir du répertoire de profils de Facebook.

En effet, il est possible de imaginez comment une personne intéressée à saisir l’adresse e-mail de * chaque * * seul * utilisateur de Facebook pourrait écrire un script pour parcourir le répertoire de profil, transformer chaque identifiant en hexadécimal, puis utiliser l’URL modifiée pour récupérer chaque adresse.

Il est facile d’imaginer comment une base de données contenant de telles adresses e-mail pourrait être abusée.

Heureusement, Stephen Sclafani a une certaine éthique. Et plutôt que d’essayer de faire sensation en publiant les détails de la faille embarrassante de Facebook, il a choisi de le divulguer de manière responsable au réseau social. Sclafani dit que Facebook a corrigé la faille dans les 24 heures et lui a récompensé 3500 $ pour ses efforts dans le cadre de leur programme Bug Bounty.

Facebook semble certainement être reconnaissant qu’il ait agi comme il l’a fait, en me disant:

« Nous apprécions les efforts du chercheur en sécurité pour signaler ce problème à notre programme White Hat. Nous avons travaillé avec le chercheur pour évaluer l’étendue du problème et résoudre ce problème bug rapidement. Nous n’avons aucune preuve qu’il a été exploité de manière malveillante. « 

 » Nous avons offert une prime au chercheur pour le remercier de sa contribution à la sécurité de Facebook. « 

Bravo à Sclafani pour avoir trouvé la faille et avoir agi de manière responsable. Et – même si cela aurait été mieux si l’échappatoire à la confidentialité n’avait pas été là en premier lieu – bravo à Facebook pour l’avoir corrigée si rapidement après avoir été informé.

Si vous envisagez de quitter Facebook , pourquoi ne pas écouter ce podcast « Smashing Security » que nous avons enregistré:

Vous avez trouvé cet article intéressant? Suivez Graham Cluley sur Twitter pour en savoir plus sur le contenu exclusif que nous publions.