Un chercheur en sécurité a récemment fait une découverte surprenante sur Facebook : avec seulement quatre lignes de code, il est possible de supprimer n’importe quel album photo.
Beaucoup d’entre nous ont des dizaines, des centaines voire des milliers de photos sur Facebook. Pourtant, une faille – qui a depuis été corrigée – aurait permis aux pirates de supprimer n’importe quelle image ou album photo.
C’est le blogueur Laxman Muthiyah qui a fait cette découverte. Il suffisait d’utiliser le code ci-dessous :
Request :-
DELETE /(Victim's_photo_album_id) HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=(Your(Attacker)_Facebook_for_Android_Access_Token)
En ajoutant simplement le numéro d’identification de l’album photo, Muthiyah avait la possibilité de supprimer des photos Facebook qui ne lui appartenaient pas.
Cette faille était exploitable grâce à l’API Graph, utilisée notamment pour la fonction Graph Search. En modifiant le token d’authentification (clé) sur son téléphone Android, il pouvait supprimer l’album d’un parfait inconnu.
Laxman Muthiyah a directement alerté Facebook à propos de ce bug. La faille a été très rapidement corrigée par les développeurs du site, en à peine deux heures. Le réseau social a remercié l’expert en sécurité, en lui remettant un chèque de 12 500 dollars (près de 11 000 euros) dans le cadre du programme de sécurité de Facebook et des primes promises pour la découverte d’une faille critique.
