La confidentialité de Facebook compromise par les attaques de camouflage

Les statistiques sont ahurissantes. Facebook compte quelque 750 millions d'utilisateurs, dont la moitié se connecte chaque jour. L'utilisateur moyen a 130 amis et passe environ 60 minutes par jour à bricoler sur le réseau.





Ce n'est un secret pour personne que Facebook a eu sa juste part de controverses sur la confidentialité et, par conséquent, le réseau a été contraint de modifier ses paramètres de confidentialité à plusieurs reprises au cours de ses sept brèves années d'existence.

Cette polémique est appelée à se poursuivre. Aujourd'hui, Shah Mahmood et Yvo Desmedt de l'University College London disent avoir trouvé une faille dans les paramètres de confidentialité de Facebook qui permet le harcèlement continu des utilisateurs de Facebook d'une manière difficile à repérer et presque impossible à arrêter.

La faille vient du fait que Facebook permet aux utilisateurs de désactiver et de réactiver leurs comptes de manière illimitée et sans restriction. Lorsqu'un compte est désactivé, les paramètres de confidentialité associés à ce compte ne peuvent pas être modifiés.



Donc, si vous vous associez à quelqu'un pour qu'il puisse voir votre contenu et qu'il désactive ensuite son compte, vous ne pouvez pas modifier les paramètres de confidentialité associés à ce compte tant qu'il n'est pas réactivé (sauf si vous appliquez une modification globale à tous vos amis).

L'attaque de Mahmood et Desmedt consiste à demander aux gens de les lier d'amitié, puis à désactiver leur compte. Ils se réactivent ensuite pendant de courtes périodes, vérifient le contenu de leurs amis et désactivent immédiatement à nouveau le compte.

Le concept ici est très similaire à celui de la dissimulation dans Star Trek où Badass Blink ou Jem'Hadar doivent se dévoiler (être visibles), ne serait-ce que pour un instant, pour ouvrir le feu, disent-ils.



La seule façon d'arrêter cela est d'être en ligne au moment où le snooper se réactive et de modifier les paramètres de confidentialité à ce moment-là ou de modifier les paramètres de confidentialité de tous vos amis ou du groupe d'amis dans lequel se trouve l'attaquant.

Mahmood et Desmedt ont testé ce type d'attaque de dissimulation sur une période de 600 jours en utilisant un compte Facebook créé sous un pseudonyme. Au cours des 285 premiers jours, ils ont envoyé 595 demandes d'amis dont 370 ont été acceptées. Ils ont également reçu 3969 demandes d'amis qu'ils ont acceptées, ce qui leur donne un total de plus de 4000 amis.

Ils sont ensuite passés en mode occultation en désactivant leur compte et en surveillant régulièrement leurs amis en ne réactivant que par périodes de 10 minutes, ce qui est assez long pour explorer des centaines de profils et garder une trace de toute activité. Aucun de nos amis n'aurait techniquement pu se séparer de nous pendant cette phase, disent-ils.



Enfin, ils ont réactivé le compte et l'ont laissé inactif pendant 60 jours pour voir combien de personnes les ont supprimés. Pendant ce temps, 239 personnes ont perdu leur ami, soit un peu plus de 5 % du total.

Il y a plusieurs raisons de penser qu'il s'agit d'un type d'attaque potentiellement grave. Les attaques masquées sont difficiles à repérer et encore plus difficiles à arrêter. De plus, un attaquant déterminé peut surveiller non seulement les individus mais les liens entre eux, obtenant ainsi un aperçu précieux de la relation entre les victimes. Facebook a récemment ajouté la fonctionnalité « parcourir l'amitié » qui révèle des informations telles que la date à laquelle ils sont devenus amis sur Facebook, les événements auxquels ils ont tous deux participé, leurs amis communs, etc.

Une fois que l'attaquant est un ami de la victime, il est hautement probable qu'il ait un accès indéfini aux informations privées de la victime de manière masquée, disent Mahmood et Desmedt. ,



Cela dit, Mahmood et Desmedt disent que le problème devrait être relativement facile à résoudre. Facebook pourrait, par exemple, vous avertir lorsqu'un ami s'est désactivé et suivre régulièrement les personnes qui se désactivent et se réactivent. L'entreprise pourrait également permettre de modifier les paramètres de confidentialité associés aux amis désactivés.

La seule question est de savoir à quelle vitesse Facebook réagira à cette menace et, ce faisant, ajoutera au catalogue croissant de modifications qu'il a été contraint d'apporter à ses fonctionnalités de confidentialité.

Réf : arxiv.org/abs/1203.4043 : Votre ami Facebook désactivé ou un espion masqué

Mise à jour : 23 mars 2012

Facebook envoie la déclaration suivante via une agence de relations publiques :

Plus tôt cette semaine, une équipe de chercheurs en sécurité a décrit une faille théorique dans notre interface utilisateur ; les utilisateurs ont été précédemment incapables de supprimer les comptes désactivés. Nous avons rapidement travaillé pour résoudre ce problème et avons pu déployer une modification de notre interface utilisateur dans les 48 heures suivant la réception de ces rapports.

Bien que nous apprécions tout le travail accompli pour assurer la sécurité de Facebook, nous avons plusieurs préoccupations légitimes concernant cette recherche de l'University College London. Nous avons été déçus que cela ne nous ait pas été divulgué par le biais de notre politique de divulgation responsable et ait été fait en violation de nos conditions. Nous encourageons toute la communauté de la sécurité à utiliser notre programme White Hat, qui fournit aux chercheurs des outils et des canaux de signalement de bogues. De plus, comme toujours, nous encourageons les gens à n'entrer en contact qu'avec des personnes qu'ils connaissent réellement et à signaler tout comportement suspect qu'ils observent sur le site.

cacher