Ne partagez pas de liens confidentiels dans un chat sur Facebook

© .
Pieterjan Van Leemputten

Messenger de Facebook est extrêmement populaire, mais le pirate éthique belge Inti De Ceukelaire démontre que le lien que l’on partage en privé dans un message de chat peut aussi être visionné par d’autres.

L’intention est simple: chaque fois que vous partagez une URL sur Facebook, que ce soit sur votre profil ou dans une communication Messenger, Facebook en réalise une mini-version dans la communication ou sur votre profil, comprenant entre autres le titre et une vignette (miniature).

A l’arrière-plan, ce type de lien et les données connexes sont conservés dans la base de données de Facebook pour une éventuelle réutilisation. Le lien est en fait stocké comme un objet auquel est attribué un numéro unique.

L’utilisateur moyen que vous êtes, ne voit pas ce numéro. Mais les développeurs, eux, peuvent via l’API de Facebook appeler des objets de cette base de données, explique De Ceukelaire sur son blog. Il a fait le test avec un nouveau document dans Google Docs, qui a été partagé via un lien unique dans une communication. En appelant ensuite le numéro alloué par Facebook à ce lien, ce dernier apparaît.

Aussi pour les utilisateurs inconnus

Mais le problème ne s’arrête pas là. De Ceukelaire s’est mis en effet à tester des chiffres aléatoires pour appeler des objets dans la base de données de Facebook. Il a découvert ainsi à plusieurs reprises des liens que des utilisateurs avaient autrefois partagés. Dans 1 pour cent des cas environ, il s’est avéré aussi que le numéro d’identification Facebook de l’utilisateur était intégré au numéro attribué au lien.

Cela signifie que si vous partagez demain un lien secret, par exemple d’un fichier WeTransfer, Google Docs ou de vos photos de vacances que vous partagez temporairement via un lien Dropbox public, il peut être intercepté par d’autres.

Les choses peuvent même devenir dramatiques, quand on sait que ce genre de processus peut être aisément automatisé. De Ceukelaire signale qu’il a réussi à intercepter quelque septante liens en l’espace de dix minutes. Il conseille dès lors aux utilisateurs de ne jamais partager de liens confidentiels via Messenger. “Si tel est cas, une surveillance massive est parfaitement possible”, affirme le hacker de 21 ans.

Facebook ne fait rien

En tant que pirate éthique, De Ceukelaire recherche régulièrement des failles sur les sites, tels Facebook. Dans ce cas, il a informé Facebook du problème rencontré, mais l’équipe de sécurité du site social lui a répondu qu’elle l’autorisait explicitement. Il n’y a que quand un grand nombre de données sont sollicitées qu’elle s’y oppose. Mais cela peut également être en principe contourné en travaillant à partir de plusieurs comptes.

C’est possible du fait que la plupart des liens, comme ceux des vidéos de chats par exemple, ne sont pas à proprement parler secrets. Mais comme la question n’est pas résolue en profondeur, il est désormais fortement déconseillé d’envoyer des liens confidentiels via Messenger.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire