Facebook : l'application de vœux programmés avait une faille
L'application « New Years Message Delivery » mise en ligne par Facebook souffrait d'une importante faille qui mettait à mal la confidentialité des données. La vulnérabilité fut corrigée à la hâte.
Pour envoyer ses vœux à temps, Facebook a mis à disposition des utilisateurs une application baptisée « New Years Message Delivery ». Sur le papier, l’idée est bonne puisqu’elle permet aux membres du réseau de rédiger leurs vœux à l’avance pour que le système les envoie ensuite dès la première seconde de la nouvelle année. Mais en pratique, un problème de confidentialité est venu gâcher la fête.
Mis en ligne à cette adresse, le service en ligne fut rendu inaccessible par Facebook après la découverte d’une importante faille de sécurité. Celle-ci fut identifiée par Jack Jenkins, un développeur américain et l’information fut relayée par quelques mastodontes de la presse spécialisée.
Le souci ? Jack Jenkins a constaté qu’il lui fallait simplement changer le numéro d’utilisateur directement dans la barre d’adresses du navigateur pour accéder aux données personnelles du membre. De quoi mettre à mal la confidentialité de ce que le réseau social présente comme des messages « privés ». L’accès ne se limitait pas à la simple lecture des messages, puisqu’une fois sur la page de l’utilisateur, l’accès aux pièces jointes était également possible.
Aujourd’hui, le site a été remis en ligne et la faille corrigée après quelques heures de maintenance. Un individu n’est donc plus en mesure d’accèder à ces messages du nouvel an simplement en changeant l’URL. Reste qu’une erreur de ce type pour un site tel que Facebook est mal venue, surtout quand celui-ci héberge les données personnelles de millions de personnes à travers le monde.
Pour ceux qui utilisent Gmail, sachez qu’il existe aussi des solutions gratuites pour programmer l’envoi de vos e-mails. Pour le Nouvel An prochain, mais aussi pour bien d’autres occasions.
Publié Le 02/01/2013 à 16:31 par Frédéric Santos