La recherche Facebook sur mobile détournée par des chercheurs en sécurité
En effectuant des recherches depuis des listes de numéros de téléphone, les hackers sont en mesure d'y associer le compte utilisateur Facebook du possesseur de ce numéro. C'est le constat, alarmiste, révélé par Suriya Prakash, un chercheur indépendant.
Les hackers peuvent abuser des fonctionnalités de recherche de Facebook sur mobile afin de trouver des numéros de téléphone valides ainsi que le nom de leurs propriétaires, selon des chercheurs en sécurité.
L'attaque est possible car Facebook ne limite pas le nombre de recherches de numéro de téléphone qui peuvent être effectuées par un utilisateur via la version mobile de son site web explique sur son blog, le vendredi 5 octobre, Suriya Prakash, un chercheur en sécurité indépendant.
Facebook permet aux utilisateurs d'associer leurs numéros de téléphone à leurs comptes. Dans les faits, un numéro de téléphone est requis pour vérifier chaque nouveau compte Facebook et débloquer les fonctionnalités de téléchargements de vidéo ou de personnalisation de l'URL de la Timeline.
Lorsque sont ajoutés des numéros de téléphone dans la section "coordonnées" des pages de profil Facebook, les utilisateurs peuvent choisir s'ils veulent rendre ces informations visibles à tous, visibles à leurs amis, ou uniquement pour eux-mêmes, ce qui est une bonne option de confidentialité.
Facebook permet également aux utilisateurs de trouver d'autres personnes sur le site en cherchant les numéros de téléphone de ces personnes au format international.
Les utilisateurs peuvent, avec ce système, également contrôler les personnes pouvant les localiser, via une option contenue dans les "paramètres de confidentialité>Prise de contact>qui peut vous retrouver à l'aide d'une recherche sur la base de l'adresse électronique ou du numéro de téléphone que vous fournissez ?". Par défaut, cette option est définie sur "tout le monde".
Photo : Bogdan Botezatu - Analyste senior chez Bitdefender (D.R)
Comme la plupart des gens n'ont pas conscience, ne savent pas, ou ne change la valeur par défaut de ce paramètre, il est possible pour une personne mal intentionnée de générer une liste de numéros de téléphone, et d'utiliser la boite de recherche de Facebook pour découvrir à qui ces numéros appartiennent explique Suriya Prakash. La connexion d'un numéro de téléphone à un nom est le rêve de tout annonceur et ce genre de listes pourrait être vendu très cher sur le marché noir ajoute-t-il.
Suriya Prakash affirme en outre qu'il a partagé cette attaque avec l'équipe de sécurité de Facebook en Août et qu'après une réponse initiale le 31 août, tous ses mails sont restés sans réponse jusqu'au 2 octobre. Un représentant de Facebook a alors répondu et déclaré que le nombre de recherches sur les utilisateurs est limité, quel que soit le moyen.
Cependant, la version mobile du site web de Facebook, m.facebook.com, ne semble pas avoir de limitation du nombre de recherches affirme Suriya Prakash.
Le chercheur a généré des numéros avec des préfixes américains et indiens, et a effectué une simple validation de son concept via un script macro qui a effectué des recherches sur Facebook et sauvegardé les numéros qui étaient associés à des profils Facebook avec le nom de leurs propriétaires.
Suriya Prakash a également déclaré qu'il avait décidé de divulguer publiquement la vulnérabilité quelques jours après l'envoi de son manuscrit de méthodologie à Facebook. La raison est que Facebook n'a pas répondu à ses sollicitations. Suriya Prakash a donc publié lui-même 850 numéros de téléphone partiellement brouillés, et les dénominations associées qui, selon lui, représentaient seulement une très petite partie des données qu'il a obtenues au cours de ses essais.
"Cela fait environ une semaine que j'ai commencé à faire ces recherches et je n'ai toujours pas été bloqué," a déclaré lundi 8 octobre Suriya Prakash par courriel. "J'ai même informé [Facebook] ce matin (à l'heure indienne) mais je n'ai toujours pas de réponse."
Suite à la divulgation publique de Suriya Prakash, Tyler Borland, un chercheur en sécurité de réseau chez Alter Logic, a créé un script encore plus efficace qui peut faire fonctionner jusqu'à dix processus de recherche sur Facebook en même temps. Le script de Borland, appelé "Facebook Phone Crawler", peut rechercher des numéros de téléphone sur une gamme spécifiée par l'utilisateur.
"Avec les réglages par défaut, j'ai pu vérifier les données pour un numéro de téléphone toutes les secondes," a déclaré Tyler Borland le lundi 8 octobre par mail. "[Facebook] n'emploie pas de limitation de recherches, ou bien je n'ai pas encore atteint cette limite. Encore une fois, j'ai envoyé des centaines de demandes dans un court intervalle de temps et rien ne s'est passé."
Si le script de Tyler Borland fonctionnait sur un botnet de plus de 100.000 ordinateurs, un hacker pourrait trouver les numéros de téléphone associés à la plupart des utilisateurs Facebook en seulement quelques jours, ajoute Suriya Prakash.
Il est troublant de constater que cette vulnérabilité est encore ouverte et qu'il existe des outils publics disponibles pour l'exploiter, a déclaré lundi Bogdan Botezatu, analyste senior chez BitDefender, via un e-mail. Il a rajouté que très peu d'utilisateurs modifient leurs paramètres de confidentialité par défaut.
C'est un autre exemple de la façon dont une fonctionnalité peut être détournée si les mécanismes de sécurité sont mal appliqués ou totalement absents déclare Botezatu.
"Contrairement aux e-mails ou aux commentaires de blog, approcher un utilisateur sur son téléphone est beaucoup plus efficace via une attaque de type hameçonnage vocal. Dans ce type d'attaques, l'utilisateur n'est pas conscient du fait que son numéro de téléphone a peut-être fini entre de mauvaises mains. En couplant son numéro de téléphones avec des informations recueillies dans le profil de l'utilisateur, un hacker peut convaincre l'utilisateur de la remise de renseignements personnels en peu de temps."
Les attaques d'hameçonnage vocal et d'autres types d'escroqueries téléphonies sont fréquentes et leur taux de réussite est déjà élevé selon Bogdan Botezatu.
"Maintenant, imaginez que ces escrocs s'adressent à vous par votre nom ainsi qu'avec les informations recueillies sur votre profil Facebook," conclut l'analyste de chez Bitdefender.
