La fonctionnalité de recherche de numéros de téléphone de Facebook peut être détournée pour trouver des numéros de téléphone et les noms de leurs propriétaires. Selon le chercheur en sécurité indépendant Suriya Prakash, « une telle attaque est possible parce que Facebook ne limite pas le nombre de recherches de numéros de téléphone pouvant être effectuées par un utilisateur depuis la version mobile de son site Web ».

Facebook permet aux utilisateurs d'associer leurs numéros de téléphone avec leur compte. En fait, pour tout nouveau compte, il est nécessaire de fournir un numéro de téléphone mobile. Il est aussi demandé pour déverrouiller des fonctionnalités comme le téléchargement de vidéos ou la personnalisation de l'URL de la timeline. Lorsque l'utilisateur ajoute son numéro de téléphone dans la section « Coordonnées » de sa page de profil Facebook, il peut préciser s'il veut que ces informations soient visibles « au public en général », « à mes amis seulement », ou s'il veut qu'elles restent visibles « pour moi uniquement», ce qui est la meilleure option de confidentialité.

Une option fixée par défaut

Facebook permet également aux utilisateurs de trouver d'autres personnes sur le site en lançant une recherche sur les numéros de téléphone de ces personnes au format international. La possibilité d'être localisé par son numéro de téléphone est paramétrable via les « Paramètres de confidentialité »> « Comment Se Connecter »> « Qui peut vous suivre en utilisant l'adresse email ou le numéro de téléphone que vous avez fournis ? ». Sauf que, par défaut, cette option est fixée à « tout le monde ». Cela signifie que même si l'utilisateur a choisi pour son numéro de téléphone l'option « pour moi uniquement » sur sa page de profil, quiconque connaît son numéro de téléphone sera toujours en mesure de le trouver sur Facebook, sauf s'il modifie le second paramètre et choisit « Amis» ou « Amis de mes amis ». Il n'y a aucune option pour empêcher « tout le monde » de localiser votre profil à l'aide de votre numéro de téléphone.

« Comme la plupart des gens ne changent pas la valeur par défaut de ce paramètre, il est possible pour un attaquant de générer une liste de numéros de téléphone séquentielles - par exemple les abonnées d'un opérateur spécifique - et d'utiliser la boîte de recherche de Facebook pour découvrir à qui ils appartiennent », a expliqué le chercheur en sécurité. « Pouvoir associer un numéro de téléphone quelconque à un nom est le rêve de tout annonceur, et ce genre de listes pourrait se vendre à des prix records au marché noir », a t-il ajouté. [[page]]Suriya Prakash affirme avoir signalé le problème à l'équipe de sécurité de Facebook au mois d'août. A part une première réponse reçue le 31 août, tous ses autres e-mails ont été ignorés jusqu'au 2 octobre, date à laquelle un responsable de Facebook lui a répondu que le nombre d'informations, et notamment les numéros de téléphone, que l'on pouvait extraire du site, quel que soit le moyen utilisé, était limité. « Cependant, la version mobile du site web de Facebook - m.facebook.com - ne semble pas avoir de limitation en terme de taux de recherche », affirme de son côté le chercheur.

Jusqu'à dix scripts de recherche de numéros

Suriya Prakash a généré une liste de numéros comportant les préfixes pays des Etats-Unis et de l'Inde, il a créé un simple script de macros proof-of-concept (PoC) qui a recherché les numéros sur Facebook et il a sauvegardé ceux qui ont pu être associés à des profils Facebook, avec les noms de leurs propriétaires. Il a ensuite envoyé son script PoC à Facebook. Mais, n'ayant reçu aucune réponse, Suriya Prakash a décidé de divulguer publiquement la vulnérabilité. Il a même publié une liste de 850 numéros de téléphone avec les noms associés (il a masqué une partie des informations), et ce n'est qu'un extrait des données qu'il a pu obtenir à l'issue de ses tests. « Cela fait environ une semaine que j'ai commencé à faire tourner le script et je n'ai toujours pas été bloqué », a déclaré hier le chercheur par courriel. « J'en ai même informé Facebook ce matin je n'ai toujours pas eu de réponse ». Interrogé dès lundi sur la question par notre confrère d'IDG NS, le réseau social n'a pour l'instant fait aucun commentaire.

Suite à la divulgation publique de Suriya Prakash, Tyler Borland, un chercheur en sécurité auprès du vendeur de solutions de sécurité pour les réseaux Alert Logic, a créé un script encore plus efficace qui peut faire tourner jusqu'à dix scripts de recherche de numéros de téléphone en même temps sur Facebook. Il a nommé ce script « Facebook phone crawler » et il permet de rechercher des numéros de téléphone à partir d'une série de numéros spécifiés par l'utilisateur. « En utilisant les réglages par défaut, j'ai pu vérifier les données au rythme d'un numéro de téléphone par seconde», a déclaré Tyler Borland par email. « Facebook n'utilise aucun système de limitation de débit ou alors je n'ai pas atteint cette limite. Encore une fois, j'ai envoyé des centaines de requêtes dans un laps de temps très court et il ne s'est rien passé », a t-il ajouté. « En faisant tourner le script de Tyler Borland sur un grand botnet - plus de 100 000 ordinateurs - un attaquant pourrait trouver les numéros de téléphone et les noms de la plupart des utilisateurs de Facebook et les numéros mobiles associés à leurs comptes en quelques jours », a déclaré Suriya Prakash.

Risque d'escroquerie téléphonique

« Il est étonnant de voir que cette vulnérabilité existe encore et qu'il y a des outils publics disponibles pour l'exploiter », a déclaré par courriel Bogdan Botezatu, analyste senior spécialisé dans les menaces chez Bitdefender. « Très peu d'utilisateurs modifient leurs paramètres de confidentialité par défaut », a t-il aussi confirmé. « Cet exemple montre encore une fois comment on peut détourner une fonctionnalité formidable en apparence quand les mécanismes de sécurité sont mal appliqués ou totalement absents », a ajouté l'analyste. « Contrairement aux e-mails ou aux messages de blog, la recherche d'un utilisateur par son numéro de téléphone est beaucoup plus efficace pour mener par la suite des opérations de phishing vocal, essentiellement parce que l'utilisateur n'imagine pas que son numéro de téléphone a pu tomber entre de mauvaises mains. S'il détient des informations inscrites dans le profil utilisateur, un attaquant peut rapidement convaincre une personne de lui livrer des informations confidentielles. »

Selon Bogdan Botezatu, « le phishing vocal et autres types d'escroqueries téléphoniques sont fréquentes et ceux qui les pratiquent obtiennent de bon résultats », a t-il ajouté. « Imaginez alors si ces escrocs s'adressent à vous par votre nom complet et appuient leurs déclarations sur des informations récupérées directement dans votre profil Facebook ! »