Facebook corrige un bug permettant de supprimer des photos d'autres utilisateurs

Facebook corrige un bug permettant de supprimer des photos d'autres utilisateurs
Facebook a corrigé une faille de sécurité permettant d'effacer, sous certaines conditions, des photos postées par les membres du réseau social. Ce bug a été signalé par un ingénieur informatique indien, qui a été récompensé pour sa trouvaille.

À chaque bug découvert sur Facebook, une issue différente pour les spécialistes de la sécurité informatique qui mettent en évidence une vulnérabilité sur le réseau social. En participant au programme Bug Bounty, ces experts "white hat" ont la possibilité d'être rémunérés d'une somme variable par Facebook, selon l'importance de la faille découverte.

Il y a quelques jours, un expert en informatique s'était vu refuser la prime après avoir identifié une faille importante, Facebook ayant considéré son signalement un peu trop démonstratif. L'histoire s'était cependant bien terminée pour ce dernier.

Une faille permettant de supprimer abusivement des photos

Le bug récemment mis en évidence par Arul Kumar, un expert informatique indien, permettait à un pirate de supprimer une photo du réseau social à l'insu d'un utilisateur.

Comment ? En exploitant une faille sur l'Espace Assistance de Facebook, via lequel un utilisateur peut signaler du contenu qu'il estime inapproprié -comme une photo- et obtenir d'un autre utilisateur qu'il la retire.

Ces requêtes peuvent être adressées au réseau social ou directement au propriétaire de l'image. Sur son blog, Arul Kumar explique avoir exploité une vulnérabilité affectant deux paramètres lors de la procédure d'envoi : l'identifiant de la photo et l'ID de l'utilisateur. En tirant parti de celle-ci, un pirate pouvait alors intercepter la demande, et supprimer la photo faisant l'objet du signalement.

Facebook a jugé le bug suffisamment sérieux pour rémunérer l'expert à hauteur de 12 500 dollars US.

En savoir plus

Crédit photo : Facebook