Défaut de sécurité sur Facebook : quand votre numéro de téléphone devient public !

Le chercheur en sécurité Suriya Prakash a trouvé un conflit entre deux options de réglages de confidentialité sur Facebook, qui rend possible de consulter des profils au hasard et d’associer le nom au numéro de téléphone que l’utilisateur a fourni pour le service d’authentification. Cela est dû au paramètre « Qui peut me trouver grâce à mon numéro de téléphone », réglé par défaut sur « Tout le monde », ce qui annule un autre réglage de confidentialité, en l’occurrence la visibilité des informations, même si celui-ci est restreint à « Moi uniquement ».

En contactant l’équipe de sécurité de Facebook pour les prévenir de la faille, afin d’éviter une collecte massive de numéros de téléphone, le chercheur a reçu comme réponse qu’il y avait « une limite de recherche d’utilisateurs par tous les moyens, y compris par le biais du numéro de téléphone ». Sauf que la limite n’est plus imposée en utilisant le site mobile.

« J’ai testé un POC très simple », écrit Prakash sur son blogen relatant l’expérience. « C’était juste un macro script qui lisait et sauvegardait le nom des utilisateurs à partir de numéros de téléphone générés. Beaucoup d’entre vous peuvent se demander comment j’ai contourné la ‘limite de recherche’ imposée par Facebook. J’ai simplement utilisé la version mobile ! C’EST TOUT ! »

Les tentatives de collecte de données n’ont pas été bloquées par la plateforme, et les conséquences de la possible exploitation de cette faille sont impressionnantes. « J’ai calculé qu’il faudrait à une personne seulement quelques jours pour télécharger l’intégralité des associations nom/numéro de téléphone avec un assez grand botnet (100 000 appareils) et un script un peu plus poussé. Sur les 600 millions d’utilisateurs qui ont rempli ces données, 500 millions seraient vulnérables », ajoute Prakash.

Et vous, avez-vous renseigné votre numéro de téléphone ?