Certains spécialistes de la sécurité auraient découvert une faille au sein des restrictions embarquées aux interfaces de programmation de Facebook.
Les applications développées pour le réseau Facebook se basent sur le langage de requête FQL. Développé par Facebook, ce dernier permet d'extraire les informations des utilisateurs du service. Si le développeur souhaite que son application puisse accéder aux données personnelles, il doit obtenir une clé pour l'usage des interfaces de programmation mises à disposition par Facebook, c'est-à-dire un identifiant unique pour gérer les droits de son application.
il semblerait cependant qu'à l'obtention de cette clé, les développeurs puissent avoir des privilèges très élevés, lesquels ne sont finalement restreints que par Facebook lorsque le développeur soumet son application. Le magazine InfoWorld rapporte les propos de deux chercheurs surnommés hatter et ErrProne. Selon ces derniers, le développeur n'aurait d'ailleurs même pas besoin d'obtenir une clé mais pourrait simplement utiliser la clé d'une application existante en ajoutant celle-ci à son profil. Cette technique permettrait de récupérer les informations des utilisateurs ayant installé l'application même si ces derniers ont préalablement choisi de ne partager les données qu'avec ses contacts.
Interrogé par InfoWorld, un porte-parole de Facebook explique : « lorsque l'on nous remonte une application malveillante ou lorsque celle-ci est détectée par notre système, nous réagissons rapidement avant qu'elle ne puisse récupérer des données ». Ces propos ne semblent en tout cas pas convaincre les deux chercheurs. Un hacker malintentionné pourrait en effet restreindre son attaque à un seul utilisateur en spécifiant un identifiant particulier et donc passer complètement inaperçu. Retrouvez davantage de détails techniques sur cette page.
Rappelons qu'au mois de mai l'éditeur Symantec, spécialisé dans la sécurité informatique, rapportait que quelque 100 000 applications n'étaient pas suffisamment sécurisées. Il était précisé que les modules de type IFRAME avaient accidentellement rendu accessibles les clés de sécurité au sein desquelles sont stockées les droits d'accès d'une application au profil d'un membre. Pour certains cette méthode avait permis aux annonceurs de récupérer certaines informations personnelles afin de déployer des campagnes de publicités ciblées.