IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Facebook : un chercheur découvre une faille permettant d'effacer n'importe quelle photo


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 371
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 371
    Points : 154 890
    Points
    154 890
    Par défaut Facebook : un chercheur découvre une faille permettant d'effacer n'importe quelle photo
    Facebook : un chercheur découvre une faille permettant d'effacer n'importe quelle photo,
    il reçoit une prime de 12 500 dollars

    Après la découverte de la faille sur la sécurité de Facebook du hacker Palestinien Khalil Shreateh, c'est au tour d'Arul Kumar de mettre le doigt sur une faiblesse du numéro un des réseaux sociaux.

    Sur son blog, le chercheur en sécurité parle d'un bogue qui permettrait à n'importe qui de supprimer à peu près n'importe quelle photo de Facebook sans tenir compte de l'auteur de la publication. La faille se trouve précisément dans un des menus de paramétrage (Support Dashboard) qui permet à un utilisateur de voir l'état des rapports qu'il a envoyés pour examen (par exemple pour des profils ou photos inappropriés ou des spams). Elle est exploitable de n'importe quel navigateur, mobile compris.

    Lors du processus, un lien est généré automatiquement et il provoquait la suppression automatique de l'image après un clic dessus. Arul Kumar avait donc trouvé le moyen d’envoyer cette requête à un autre destinataire et pouvait ainsi supprimer à volonté des photos diffusées sur le réseau social. Pour cela l’attaquant avait besoin de l’identifiant de la photo et de l’ID de l’utilisateur (disponible sur le Facebook Graph).

    Les termes du programme White Hat de Facebook prévoient que ceux qui trouvent des failles dans la sécurité et suivent les règles de Facebook dans le rapport des bogues perçoivent une récompense. La récompense minimale est de 500 dollars et, en fonction du degré de sévérité de la faille, Facebook peut payer plus. La plupart des paiements de Facebook ont oscillé autour de 1 500 dollars. Pourtant Arul Kumar a reçu une récompense de 12 500 dollars pour sa recherche qui a permis à l'équipe de corriger la faille dans la sécurité, soit 25 fois la prime de base.


    Source : blog Arul Kumar

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Homme Profil pro
    Étudiant
    Inscrit en
    juillet 2013
    Messages
    192
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juillet 2013
    Messages : 192
    Points : 678
    Points
    678
    Par défaut
    Ils veulent se racheter après le petit scandale qu'a créé l'affaire Khalil Shreateh

  3. #3
    Rédacteur
    Avatar de pcaboche
    Homme Profil pro
    Inscrit en
    octobre 2005
    Messages
    2 785
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Singapour

    Informations forums :
    Inscription : octobre 2005
    Messages : 2 785
    Points : 9 688
    Points
    9 688
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    La plupart des paiements de Facebook ont oscillé autour de 1 500 dollars. Pourtant Arul Kumar a reçu une récompense de 12 500 dollars pour sa recherche qui a permis à l'équipe de corriger la faille dans la sécurité, soit 25 fois la prime de base.


    Source : Blog Arul Kumar

    Et vous ?

    Qu'en pensez-vous ?
    Mais il est con ! Il aurait mieux fait de ne rien dire à personne et de monter sa société qui, moyennant finances, permettrait de se débarrasser de photos comprométantes (ex : les photos de vos dernières beuveries, qui font tache quand on cherche un emploi). Il aurait pu gagner beaucoup plus que 12 500 dollars !
    "On en a vu poser les armes avant de se tirer une balle dans le pied..."
    -- pydévelop

    Derniers articles:

    (SQL Server) Introduction à la gestion des droits
    (UML) Souplesse et modularité grâce aux Design Patterns
    (UML) Le Pattern Etat
    Autres articles...

  4. #4
    En attente de confirmation mail
    Profil pro
    Inscrit en
    décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2010
    Messages : 555
    Points : 1 583
    Points
    1 583
    Par défaut
    Et pour 12.500$ Facebook se refait une image. Pas cher, non ?

    Citation Envoyé par pcaboche Voir le message
    Mais il est con ! Il aurait mieux fait de ne rien dire à personne et de monter sa société qui, moyennant finances, permettrait de se débarrasser de photos comprométantes (ex : les photos de vos dernières beuveries, qui font tache quand on cherche un emploi). Il aurait pu gagner beaucoup plus que 12 500 dollars !
    En même temps, tout contenu doit pouvoir être signalé (et retiré). Donc pour une telle exploitation, la faille est bien inutile. La société ne fait que le ménage d'une personne qui aurait pu le faire elle-même.

  5. #5
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2007
    Messages
    1 118
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 1 118
    Points : 4 331
    Points
    4 331
    Par défaut
    Wha !! Commence on peut laisser passer de genre de chose sans vérifications des droits côté serveur... C'est la base : ne jamais faire confiance à ce qui vient du client.

  6. #6
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 31

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 933
    Points
    3 933
    Par défaut
    Et pour une faille critique ils payent combien? Non parce que là ok c'est gênant mais pas critique non plus.
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  7. #7
    Expert éminent sénior
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2012
    Messages
    2 985
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2012
    Messages : 2 985
    Points : 15 963
    Points
    15 963
    Par défaut
    Citation Envoyé par Lyons Voir le message
    Ils veulent se racheter après le petit scandale qu'a créé l'affaire Khalil Shreateh
    Clairement!

    Les prochaines reviendront à la normale, à moins que ce soit leur nouveau palier de primes. Ils pourraient quand même!

  8. #8
    Membre du Club
    Inscrit en
    janvier 2007
    Messages
    26
    Détails du profil
    Informations forums :
    Inscription : janvier 2007
    Messages : 26
    Points : 56
    Points
    56
    Par défaut Khalil Shreateh
    Pour la faille qui a été découverte par Khalil Shreateh et qui considéré comme très critique on ne paye rien et pour une telle faille qui ne semble pas faire des larmes 12500$, c'est trop. Heureusement que la communauté des Hackers s'est mobilisé pour lui ...

  9. #9
    Membre averti Avatar de diallomad
    Homme Profil pro
    Étudiant
    Inscrit en
    avril 2009
    Messages
    164
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Mali

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : avril 2009
    Messages : 164
    Points : 362
    Points
    362
    Par défaut
    12 500 dollars, c'est encourageant. Facebook sait maintenant qu'il a le choix entre reconnaitre les failles et récompenser ou ignorer les failles et le monde entier les reconnaitra( après une exploitation publique). Il est préférable d'avoir les hackers de son coté que sur son dos
    Le chemin de la réussite n'a jamais été une courbe stable tant qu'on respire dans les mêmes fautes sans fin.
    Thomas Sankara

  10. #10
    Nouveau Candidat au Club
    Homme Profil pro
    Inscrit en
    septembre 2013
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : septembre 2013
    Messages : 1
    Points : 0
    Points
    0
    Par défaut
    je ne veut pas créer de polémique ici mais il ont payé 12500$ contrairement au palestinien à qui 500$ non jamais été versé lol mdr

  11. #11
    Membre chevronné
    Avatar de Pelote2012
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mars 2008
    Messages
    919
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2008
    Messages : 919
    Points : 1 790
    Points
    1 790
    Billets dans le blog
    2
    Par défaut
    Oui oui ça sent quand même la tentative de faire oublier le précédent incident.
    Mais bon le malheur des uns fais le bonheur des autres
    Si débugger est l'art d'enlever les bugs ... alors programmer est l'art de les créer

Discussions similaires

  1. Des chercheurs trouvent une faille dans l’algorithme RSA
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 12
    Dernier message: 09/12/2016, 09h32
  2. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 11h04
  3. Réponses: 6
    Dernier message: 04/02/2011, 14h23
  4. Réponses: 6
    Dernier message: 04/02/2011, 14h23
  5. Microsoft découvre une faille dans MFC
    Par Gordon Fowler dans le forum Actualités
    Réponses: 18
    Dernier message: 14/07/2010, 13h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo