Ça fait quelques semaines maintenant que j’attends de pouvoir en parler et c’est chose faite puisque Facebook vient de patcher 2 énormes failles découvertes par John Jean de la société Wargan.
Correctement exploitées, ces failles XSS et CSRF auraient permis de créer un ver capable de se diffuser seul, d’utilisateur en utilisateur, enregistrant leurs données personnelles, modifiant celles-ci, voir les supprimant complétement… Vous l’aurez compris, avec 500 millions d’inscrits, un tel ver aurait pu faire de gros dégats avant que Facebook ne s’en rende compte et ne patche les failles.
Heureusement, les choses ont été bien faites entre Facebook et Wargan, qui ont bossé ensemble pour éviter le pire. (En suivant la notion de Responsible Disclosure)
Plutôt que de vous endormir avec des détails techniques à n’en plus finir, voici 2 petites vidéos de démonstrations qui permettent de mieux se rendre compte de la gravité de ces failles et qui permettent surtout de « voir » comment font les pro de la sécurité (blackhat ou whitehat) pour les exploiter.
Impressionnant non ? Le côté diffusion exponentielle de la faille aurait vraiment pu faire mal avec ce « ver social » (heureusement contrôlé par Wargan). Tous les détails techniques se trouvent ici, si vous souhaitez en savoir plus.
Encore merci à JohnJean pour la petite exclu et les démos vidéos traduites en français !