Accueil » Lifestyle » High-tech
Les scandales majeurs de Facebook
Publié le Mercredi 22 Septembre 2010

1. Inj3ct0r capte des données bancaires (26 mai 2010)

Int3ct0r (lire injector) est un redoutable groupe de pirates chevronnés qui a sévit à plusieurs reprises sur le Net.

 

Sur Facebook, ce sont les applications libres de droit qui ont permis à ces pirates d’accéder aux comptes des utilisateurs pour usurper leurs mot de passes et surtout leurs coordonnés bancaires qui furent aussitôt modifiés.

 Une fraude qui s’est chiffré à des milliers de dollars à travers le monde. 2. « Evil » : des centaines de milliers de téléphones visibles (23 mai 2010)

Plusieurs d’entres nous ne trouvent aucun mal à indiquer leurs numéros de téléphones sur leurs profiles Facebook. Ceux-là réfléchiront deux fois avant de lâcher cette information après le scandale des numéros de téléphones. Tom Scott, un développeur londonien a réussi à créer un site qui récupère tous les numéros de téléphone sur Facebook et les retransmet sous forme d’un bandeau défilant. Lorsque ces profils ne sont pas suffisamment protégés, ces numéros sont visibles de tous. Le développeur a quand-même eu l’amabilité de masquer les trois derniers chiffres mais on se demande ce qu’il serait si les mêmes infirmations tombaient sous la main d’un hacker mal intentionné !


3. Google DoubleClick et Yahoo Right Media reçoivent des données (21 mai 2010)

Selon le Wall Street Journal, Facebook aurait autorisé l’envoi d’informations personnelles à des annonceurs sans le consentement des utilisateurs. Parmi les entreprise ayant bénéficié de ces données, on retrouve Google DoubleClick ou encore Yahoo ! Right Media.

Les données fournies par Facebook concerneraient les noms d’utilisateurs, numéros d’identifiants et permettraient d’exploiter les informations personnelles sur les profils des victimes. Ces données seraient délivrées à partir du moment où l’utilisateur clique sur une des publicités du site. Il semblerait que Facebook ait corrigé une partie de cette faille tandis que Yahoo a démenti son implication dans cette affaire.

4. La fille au bikini rose (15 mai 2010)

Plus de 300 000 alertes de sécurité ont été déclenché pour les utilisateurs du logiciel LinkScanner. Le point commun entre tous ces internautes c’est qu’ils ont cédé aux charmes d’une jeune fille en bikini rose ! il s’agit d’une vidéo lancé sur Facebook et qui nécessite de « mettre à jour » le lecteur multimédia de l’utilisateur avant de pouvoir visionner l’intégralité de la séquence. Evidemment, la mise à jour n’est autre qu’un programme malveillant. Facebook à vite réagit en retirant la vidéo, après 300 milles attaques quand-même !

5. Piratage du compte de Jim Breyer (11 mai 2010)


Le compte Facebook de Jim Breyer (associé de la société Accel Partners, l’un des investisseurs du réseau social) est à l’origine de la diffusion de plusieurs milliers de messages de spam. Ce message invite les destinataires à prendre part à un événement au sujet de l’obtention d’un numéro de téléphone Facebook. Le lien accompagnant le message demande les identifiants et a pour unique conséquence de compromettre un nouveau compte, pour le faire piéger à son tour au cœur d’une spirale de spam. Les internautes sont le plus souvent la cible privilégiée lors d’attaques pirates sur Facebook.

Cette fois-ci, il s’agit d’un message fort adressé à la firme américaine, puisqu’il s’agit de l’un des membres du conseil d’administration de l’entreprise qui est visé. Si même les dirigeants de Facebook se font pirater, l’utilisateur lambda peut s’inquiéter pour la sécurité de ses propres données. Seul point rassurant, le compte compromis ne l’a pas été grâce à l’exploitation d’une quelconque faille, mais par une attaque de type phishing.

6. Récupération de la géo localisation des internautes via Yelp (10 mai 2010)

L’un des atouts qui ont contribué à la réussite de Facebook consiste en son ouverture sur les autres sites. Vous pouvez vous connectez presque partout en utilisant votre session Facebook. Mais c’est le même atout qui s’est retourné contre le site ou plutôt contre les utilisateurs du site. Lorsqu’un internaute connecté à Facebook accède et autorise le partage d’informations avec l’un de ces sites, la nouvelle API Graph envoie aux sites tiers des informations personnelles chiffrées.

Le module de recommandations d’amis de Yelp, autorisé par Facebook à utiliser la fonctionnalité de « personnalisation instantanée », permet alors une injection de code malicieux. Toutes les données chiffrées sont alors lisibles par un pirate. Facebook annonce avoir corrigé l’erreur en moins de deux heures. Une fois n’est pas coutume, la capacité du site créé par Mark Zuckerberg à assurer la confidentialité des données de ses clients est largement remise en cause.

7. Le chat affiche les conversations de ses amis en temps réel (5 mai 2010)

Le service de messagerie instantanée de Facebook n’est pas d’une qualité probante. Néanmoins, les utilisateurs préfèrent souvent y rester plutôt que de devoir jongler entredeux fenêtres. Mais ce service à failli aux normes de sécurité des données personnelles pendant quelques heures : les conversations étaient alors visibles par n’importe quelle personne de la liste d’amis !

Cela se produisait lorsque quelqu’un essayait de pré visualiser son profile en tapant le nom d’un de ses amis pour voir comment son compte apparaît chez cette personne. Il pouvait donc accéder aux conversations de cette personne en temps réel. Un bug fort compromettant qui n’a pu être réglé que lorsqu’un site (Techcrunch) avait alerté les responsables du réseau social. Le problème fut donc réglé en quelques heures.

8. Les applications qui s’ajoutent elles-mêmes au profil (5mai 2010)

Si l’on visite un site sur lequel on s’identifie via Facebook Connect, le réseau social est capable d’ajouter son application au profil de l’utilisateur sans même le prévenir. L’application peut alors accéder aux données du profil concerné. Les sites du Washington Post, TechCrunch, le New York Magazine et Formspring sont pointés du doigt pour avoir profité de cette faille. Selon le site MacWorld, lorsqu’un software s’installe automatiquement sur son ordinateur, on parle d’un malware.

De son côté, Facebook se défend et évoque un bug. Au moment de l’affaire, modifier les autorisations sur le site n’est pas chose aisée. Il faut opérer une série de manipulations dans les paramètres d’applications pour retirer le droit de publier l’activité récente sur son mur. Facebook a réagi en affirmant que la fonctionnalité serait corrigée.

9. 1,5 million de comptes Facebook mis en vente (23 avril 2010)

Des chercheurs de VeriSign’s iDefense ont découvert un hacker du nom de Kirllos qui serait en possession d’un grand nombre de comptes Facebook. Ce Kirllos tenterait de monnayer près de 1,5 million de comptes comprenant identifiant et mot de passe sur un forum. Vendus entre 25$ et 45$ pièce, ces comptes sont ensuite exploités pour extorquer de l’argent au réseau de chaque compte, prétextant un enlèvement à l’étranger, par exemple. D’autres en profitent pour insérer des liens malicieux, profitant d’annonces de vidéos divertissantes. Si le réseau social n’est pas directement mis en cause dans cette affaire, la facilité avec laquelle autant de comptes ont été détournés par Kirllos en dit long sur la capacité de Facebook à protéger ses utilisateurs.

10. L’extension Firefox Tamper Data sème la pagaille (23 juin 2009)

Selon le site FBHive.com, qui couvre l’écosystème Facebook, une simple utilisation de l’extension Firefox Tamper Data permet de modifier des variables sur une page HTML active. Après installation du module, on se place sur la page du profil dont les données ne sont pas privées. Sur Tamper Data, en remplaçant simplement le paramètre de l’utilisateur, les informations cachées deviennent alors publiques.

Une vidéo réalisée par le site explique le fonctionnement de cette faille. Déjà mis en avant en 2007, ce type de faille Facebook stigmatise le manque de protection des renseignements sur les convictions de ses utilisateurs. FBHive.com a bien essayé de prévenir Facebook dès le 7 juin, sans aucune réponse des développeurs.

11. 300 groupes piratés et renommés « Control your info » (11 novembre 2009)

Selon Jeremy Wagstaff, journaliste à l’agence Reuters, plus de 300 groupes Facebook ont été piratés : leurs noms et photos ont été remplacés pour afficher le même texte, engageant à prêter une attention plus importante à ses données. Exploitant une faille de sécurité du réseau social, les hackers en ont profité pour renommer tous ces groupes « Control your info ».

Comme souvent dans ce type d’attaque, les pirates, aussi appelés "White Hat Hackers", expliquent que l’action n’a été menée que pour mettre en avant une faille importante et persistante sur le site. En effet, lorsque le créateur et administrateur d’un groupe le quitte, celui-ci se retrouve exposé à ce type d’attaque.

12. 4 millions de messages envoyés par Adam Guerbuez (mars 2008)

Entre mars et avril 2008, M. Guerbuez et sa société Atlantis Blue Capital auraient envoyé quatre millions de messages d’apparence légitime sur Facebook pour vendre de la marijuana, des pilules de virilité ou d’autres produits « à orientation sexuelle ». Pour cela, M. Guerbuerz a conduit plusieurs utilisateurs du site à lui révéler leurs codes d’accès en utilisant des scripts. Pour une fois, cette affaire a terminé devant les tribunaux, et Facebook a été déclaré « victime ».

Le réseau social n’est donc pas remis en cause directement dans ce cas, même si la facilité avec laquelle l’attaque a été orchestrée pose des questions quant à la vulnérabilité du site. Pour Facebook, cette expérience est bénéfique : pour la première fois, le site créé par Mark Zuckerberg sort vainqueur puisque le spammer canadien a été condamné à verser 873 millions de dollars de dommages et intérêts à Facebook. À l’heure actuelle, le Montréalais n’a toujours pas eu besoin de verser cette somme, en raison d’un flou juridique.

Services
© Impressive web France 2013 - Tous droits réservés                                                                                                                               Accueil | condition générales | Plan de site | Newsletter | Contact | RSS
Tendancemag.com | Copyright © Impressive web France 2013