Suriya Prakash affirme avoir signalé le problème à l'équipe de sécurité de Facebook au mois d'août. A part une première réponse reçue le 31 août, tous ses autres e-mails ont été ignorés jusqu'au 2 octobre, date à laquelle un responsable de Facebook lui a répondu que le nombre d'informations, et notamment les numéros de téléphone, que l'on pouvait extraire du site, quel que soit le moyen utilisé, était limité. « Cependant, la version mobile du site web de Facebook - m.facebook.com - ne semble pas avoir de limitation en terme de taux de recherche », affirme de son côté le chercheur.
Jusqu'à dix scripts de recherche de numéros
Suriya Prakash a généré une liste de numéros comportant les préfixes pays des Etats-Unis et de l'Inde, il a créé un simple script de macros proof-of-concept (PoC) qui a recherché les numéros sur Facebook et il a sauvegardé ceux qui ont pu être associés à des profils Facebook, avec les noms de leurs propriétaires. Il a ensuite envoyé son script PoC à Facebook. Mais, n'ayant reçu aucune réponse, Suriya Prakash a décidé de divulguer publiquement la vulnérabilité. Il a même publié une liste de 850 numéros de téléphone avec les noms associés (il a masqué une partie des informations), et ce n'est qu'un extrait des données qu'il a pu obtenir à l'issue de ses tests. « Cela fait environ une semaine que j'ai commencé à faire tourner le script et je n'ai toujours pas été bloqué », a déclaré hier le chercheur par courriel. « J'en ai même informé Facebook ce matin je n'ai toujours pas eu de réponse ». Interrogé dès lundi sur la question par notre confrère d'IDG NS, le réseau social n'a pour l'instant fait aucun commentaire.
Suite à la divulgation publique de Suriya Prakash, Tyler Borland, un chercheur en sécurité auprès du vendeur de solutions de sécurité pour les réseaux Alert Logic, a créé un script encore plus efficace qui peut faire tourner jusqu'à dix scripts de recherche de numéros de téléphone en même temps sur Facebook. Il a nommé ce script « Facebook phone crawler » et il permet de rechercher des numéros de téléphone à partir d'une série de numéros spécifiés par l'utilisateur. « En utilisant les réglages par défaut, j'ai pu vérifier les données au rythme d'un numéro de téléphone par seconde», a déclaré Tyler Borland par email. « Facebook n'utilise aucun système de limitation de débit ou alors je n'ai pas atteint cette limite. Encore une fois, j'ai envoyé des centaines de requêtes dans un laps de temps très court et il ne s'est rien passé », a t-il ajouté. « En faisant tourner le script de Tyler Borland sur un grand botnet - plus de 100 000 ordinateurs - un attaquant pourrait trouver les numéros de téléphone et les noms de la plupart des utilisateurs de Facebook et les numéros mobiles associés à leurs comptes en quelques jours », a déclaré Suriya Prakash.
Risque d'escroquerie téléphonique
« Il est étonnant de voir que cette vulnérabilité existe encore et qu'il y a des outils publics disponibles pour l'exploiter », a déclaré par courriel Bogdan Botezatu, analyste senior spécialisé dans les menaces chez Bitdefender. « Très peu d'utilisateurs modifient leurs paramètres de confidentialité par défaut », a t-il aussi confirmé. « Cet exemple montre encore une fois comment on peut détourner une fonctionnalité formidable en apparence quand les mécanismes de sécurité sont mal appliqués ou totalement absents », a ajouté l'analyste. « Contrairement aux e-mails ou aux messages de blog, la recherche d'un utilisateur par son numéro de téléphone est beaucoup plus efficace pour mener par la suite des opérations de phishing vocal, essentiellement parce que l'utilisateur n'imagine pas que son numéro de téléphone a pu tomber entre de mauvaises mains. S'il détient des informations inscrites dans le profil utilisateur, un attaquant peut rapidement convaincre une personne de lui livrer des informations confidentielles. »
Selon Bogdan Botezatu, « le phishing vocal et autres types d'escroqueries téléphoniques sont fréquentes et ceux qui les pratiquent obtiennent de bon résultats », a t-il ajouté. « Imaginez alors si ces escrocs s'adressent à vous par votre nom complet et appuient leurs déclarations sur des informations récupérées directement dans votre profil Facebook ! »
La recherche de numéros de téléphone sur Facebook peut être détournée à de mauvaises fins
9
Réactions
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Ci vous n'avez pas un numéro de mobile il vous sera impossible d'avoir un compte facebook. c'est devenu compliquer. Facebook veut vous envoyer vos code uniquement par sms. ci non il vous ferme le compte. :-(
Signaler un abusbonjour,
Signaler un abusfacebook sa toujours était une passoire en terme de sécurité pour cela pourquoi changé?
les gents sont content des systèmes comme sa.
regardé windows ses ultra facile de recupéré les information de ce que tu utilise comme logiciel et de ce que tu fait sur le net (10minute à 15minute une fois que tu a l'ip).
il tous le monde le bade et Apple commence a faire pareil et tous le monde et content de ce faire faire prendre pour des imbéciles.
BONJOUR JE NE PEU PLUS REPONDRE A MES AMIS SA ME MES VOUS ETRE MOMENTANEMENT BLOQUER COMMENT FAIRE POUR SUPRIMER SA MERCI
Signaler un abusdu coup avec ton numero de téléphone ou ton adresse mail on peut retrouver ton compte facebook. Pas très agréable pour ceux qui ont choisi de ne pas mettre leur vrai nom, pour ne pas être trop facile à trouver.
Signaler un abusBonjour, moi j utilise ce logiciel localisation-portable.com/ . C est différent car ca utilise le numero
Signaler un abushello, j ai vu pas mal d outil sur ce blog localisation-portable.com/ ca pourrait vous aider a trouver votre tel!
Signaler un abusje cherche un numéro de téléphone pour accéder a facebook merci de contacter au 0675931709
Signaler un abusje voudrais recouperais mon code je mon rapelle plus
Signaler un abusmonsieur madame je veut icrire au président
Signaler un abusde la république merci