Le réseau social a de nouveau été victime d'un bug qui a permis à des sites web d'accéder aux centres d'intérêt des utilisateurs.
Décidément, 2018 restera une année noire pour le réseau social Facebook. L'entreprise de Mark Zuckerberg, accusée à plusieurs reprises de manquements à la sécurité des données personnelles de ses utilisateurs, a été à nouveau victime d'un bug qui a permis a des sites web d'accéder à des informations comme les centres d'intérêt des visiteurs, et de leurs amis.
Le moteur de recherche permettait d'en savoir beaucoup sur les utilisateurs
Ron Massas, chercheur en sécurité, a constaté que Facebook ne protégeait pas les recherches effectuées via le Graph Search, son moteur de recherche maison permettant de fournir des résultats à des questions écrites en langage naturel.Pour exploiter cette faille, aujourd'hui résorbée par Facebook, il suffisait de créer une fausse page web. L'utilisateur cliquait sur cette dernière, ce qui ouvrait un pop-up ou un nouvel onglet l'amenant sur le champ de recherche Facebook, et les pirates auraient pu utiliser un iframe (qui permet aux utilisateurs d'incorporer des contenus tiers dans des pages Web) pour collecter des informations personnelles selon les requêtes utilisées.
Les pirates pouvaient avoir ainsi manipulé les recherches dans le Graph afin de savoir si les utilisateurs concernés aimaient ou non une page, et d'en déduire leurs centres d'intérêt et leurs hobbies.
Le bug a été résolu quelques jours après sa découverte par Ron Massas, qui a prévenu l'entreprise immédiatement. Mais cet énième épisode montre bien aujourd'hui l'ampleur de la tache qu'il reste à accomplir à Facebook afin de regagner la confiance de ses utilisateurs.
Source : Engadget
