Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

Présentation

  • : Le blog du C.L.A.P33
  • Le blog du C.L.A.P33
  • : Collectif bordelais Contre les Abus Policiers
  • Contact

Recherche

ETAT D'URGENCE

Le cadre légal : klik

****
Kezaco la loi
"Etat d'urgence"


C'est par là : klik !

****
Agenda des luttes

 
http://demainlegrandsoir.org/IMG/arton913.png

  En ligne ici : klik !

*****

Non à la loi renseignement

Infos : klik !

****
Retrouvez toutes

les brochures du C.L.A.P33

***
"Résistons Ensemble"


http://resistons.lautre.net/

***

Et encore...

Notre flux Rss




https://a2-images.myspacecdn.com/images04/2/8050b970040d479da3e063184a2bbb9c/full.jpg

http://blog.cgtbayard.org/public/solidar.jpg


 

31 juillet 2016 7 31 /07 /juillet /2016 10:08

Le 13 juin 2016

Un développeur est parvenu à accéder à des URL partagées de manière confidentielle sur le réseau social et même à en savoir plus sur les profils des utilisateurs concernés. Facebook a avoué stocker ces messages.

Les liens que les utilisateurs de Facebook partagent en privé ne sont pas réellement privés. Non seulement le réseau social les stocke dans sa base de donnée mais un étudiant belge de 21 ans, qui se présente comme un « hacker éthique », est parvenu à voir des adresses web complètes envoyées par des inconnus, auxquelles il n'aurait pas dû avoir accès.

Dans une note de blog publiée sur Medium, Inti De Ceukelaire explique pas à pas, captures d'écran à l'appui, comment il a pu voir des liens partagés de manière confidentielle sur la plate-forme grâce à des outils utilisés par ceux qui développent des applications sur Facebook.

Les URL non protégées par le réseau social

Chaque contenu partagé sur Facebook - une photo, un statut ou un lien - se voit assigner un numéro d'identification , que le site enregistre systématiquement.

Via l'API de Facebook, l'interface destinée aux développeurs d'applications, il est possible de faire une recherche dans la base de données et de retrouver un objet par ce numéro d'identification, mais si et seulement si le développeur en question y a accès. Il n'est donc pas possible de voir un statut ou une photo s'ils sont partagés en privé par des inconnus, par exemple.

Inti De Ceukelaire s'est amusé avec cet outil en essayant plusieurs numéros, sans succès, car il n'avait pas l'autorisation d'accéder aux contenus correspondants. Jusqu'à ce qu' il rajoute « URL » à l'une de ses requêtes qui évoquait un « site Internet ». L'objet recherché comportant un lien internet, Facebook a alors publié son adresse complète.

Accès au contenu d'un Google Doc

L'étudiant s'est alors demandé s'il pouvait utiliser cette méthode pour voir d'autres liens partagés de manière confidentielle, via Messenger, par exemple. Il a fait un test avec un ami, qui a créé un Google Doc, et s'est envoyé le lien à lui-même sur la messagerie privée de Facebook, avant de cliquer dessus.

Le lien vers son document s'est alors vu assigner un numéro d'identification, qu'il a retrouvé grâce à un autre outil destiné aux développeurs (appelé Debugger ). Inti De Ceukelaire a pu accéder sans peine au contenu de ce Google Doc en envoyant une requête à la base de données avec ce numéro d'identification via l'interface dédiée aux développeurs sur la plate-forme.

Il a ensuite reproduit la méthode de manière automatisée avec plusieurs autres numéros d'identification à l'aide d'un script, pour tenter de tomber au hasard sur d'autres liens partagés par des inconnus. Sa méthode a fonctionné pour des liens partagés via Messenger, dans des groupes privés et dans des statuts. Il a même pu savoir dans certains cas qui était la personne qui avait partagé le lien, car l'identifiant de l'utilisateur (le numéro associé à son compte Facebook) s'affichait à côté de l'URL.

Des infos confidentielles dans certaines URL

« Même si vous partagez seulement des vidéos de chats rigolotes avec vos amis, vous devriez tout de même être inquiets », écrit le jeune hacker, indiquant qu'il peut arriver que des informations confidentielles apparaissent dans les liens sans même que l'on s'en aperçoive.

Dans les URL qu'il est parvenu à extraire se trouvaient des prénoms, des lieux ou encore des liens directs vers les espaces de stockage en ligne Google Drive d'internautes. Certaines d'entre elles contenaient plusieurs de ces éléments à la fois, permettant d'identifier un profil en particulier.

Absolument pas un bug, selon Facebook

Des millions de liens étant partagés chaque jour sur Facebook, il serait difficile de tous les passer au crible via l'API, admet Inti De Ceukelaire.

Il met toutefois en garde contre de potentielles personnes malveillantes qui reproduiraient régulièrement la marche à suivre de manière automatisée. En dix minutes, il a lui-même pu extraire 70 liens.

Le jeune belge a contacté Facebook pour lui faire part de sa découverte. A sa grande surprise, le réseau social lui a répondu que ce n'était pas un bug. Le site sait très bien à quelles données il donne accès aux développeurs et affirme que c'est « intentionnel », réexpliquant à quoi sert chaque outil.

La semaine dernière, le réseau social était en revanche confronté à une véritable faille de Messenger , qu'elle a corrigée rapidement.

Sur Android et sur la version web de la messagerie instantanée, un hacker pouvait modifier a posteriori les messages envoyés. Une faille qui permettait entre autres d'insérer un lien malveillant (de type physhing) dans une conversation.

Des chercheurs en sécurité de Check Point avaient réalisé une vidéo pour montrer comment cette faille pouvait être exploitée.

Source :
http://www.lesechos.fr/tech-medias/hightech/0211024342307-facebook-lit-vos-messages-prives-et-ce-nest-pas-un-bug-2006055.php

Partager cet article

Repost 0
Publié par C.L.A.P33 - dans Fichage Surveillance
commenter cet article

commentaires

Documentation

ACTIONS C.L.A.P33 & Co...

****
Bordeaux - 18 mars 2017

Journée contre

les violences policières

Notre appel : klik !

*****
Violences Policières

France - Trois rapports
ACAT : klik !

Amnesty International : klik !
Paris Luttes Infos : klik !

 

*****
L'impact disproportionné
de l'état d'urgence

Un rapport d'Amnesty  : klik !

****
Hommage aux victimes

21 Mars 2015

 
15 mars 2014
 

19 mars 2011
 

****

" Vétérante "

O.P.A

******
Soutien à m.
Nous n'oublierons pas
 le 19 Mars 2009 à Bordeaux !
 
Infos :  klik !
 

 

L'oeil de Pancho

D'autres dessins de Pancho : klik

Retour à la page d'accueil