facebook-security

Facebook laisse vos photos accessibles à tous depuis des années… et ça ne risque pas de changer

Étrange de voir que depuis 2008, Facebook n’a pas résolu un gros souci de sécurisation des photos privées sur le plus gros réseau social du monde.

Il est en effet possible pour tout un chacun d’accéder aux photos privées de n’importe qui, sans même être connecté au site de Mark Zuckerberg ! Un souci qui a même personnellement touché le big boss de Facebook, puisque ses propres photos privées se sont retrouvées sur le net, des hackers ayant jugé bon de faire un exemple frappant pour démontrer le problème ^^

Un problème qui ne sera peut-être jamais résolu pour des questions de performance…

Car aujourd’hui, vous pouvez accéder à n’importe quelle photo privée sans être connecté à Facebook. Faites vous-même le test : allez sur Facebook si vous avez un compte, ouvrez une photo ayant un accès restreint et faites un clic droit dessus, et cliquer sur « Ouvrir l’image dans un nouvel onglet ».

Vous vous retrouvez sur votre navigateur avec un onglet n’affichant que la photo. Sauf que si vous copiez le lien affiché dans la barre d’adresse, que vous vous déconnectez, que vous changez de navigateur ou que vous envoyez ce lien à un contact n’étant même pas sur Facebook, vous pourrez tout de même accéder à l’image. Il n’y a aucun contrôle des informations de connexion et de confidentialité par rapport à Facebook !

Un petit exemple avec cette magnifique photo de mon récent anniversaire, qui est normalement restreinte à un usage purement privé ^^

Pourquoi cette faille signalée depuis 2008 n’a-t-elle toujours pas été résolue par Facebook ? Pour deux raisons :

  • Les contrôles de l’identification des utilisateurs utiliseraient trop de performance, ce qui est un véritable problème pour un site hébergeant des milliards de photos.
  • L’hébergement des images est sous-traité, toujours pour répondre à des problématique de performance chez Facebook.

Bref, les photos stockées chez Facebook ne sont en fait pas stockées chez Facebook, et il est bien peu probable que cette faille soit un jour colmatée.

« Ayez confiance… »

Source et merci à Nich pour l’info ;-)

  21Comments

  1. Nikowa   •  

    D’un côté, d’accord, mais d’un autre, bof.

    Pourquoi bloquer ce genre d’accès ?
    Comme tu le dis, ça réduit les performances, mais ça ne corrige en rien le soucis.

    N’importe qui ayant les droits peut faire clic droit, enregistrer sous, et l’envoyer à quelqu’un… (et cela est à la portée de tout le monde …)

    • Nikopik   •     Author

      Le lien de la photo comprend des données, comme l’ID Facebook, qui peuvent permettre avec un bon algo de retrouver des photos privées, cf le piratage des photos de Zuck ou de Paris Hilton…

      • Nikowa   •  

        Vu les liens, l’algo ferait du forcing, donc plutôt bloquer les IP qui font des requêtes en mass vers du 404 pour bloquer la chose, ou retirer l’ID de l’utilisateur dans le lien (il me semble que le lien dans ton post ne contient pas l’id de ton compte).

        Mais il me semble que pour les photos de Mark, c’était un autre procédé qui était utilisé (avec un signalement il me semble ?) qui lui à été corrigé (si je ne me trompe pas).

    • MutoKenji   •  

      Je suis complètement d’accord avec toi Nikowa.
      Ça n’a rien d’une faille.
      Il n’est pas possible de générer ce lien à partir de rien, donc il faut que quelqu’un ait en premier lieu un accès à la photo privée.
      Et je ne pense pas qu’il soit possible de faire quoique ce soit avec le lien d’une photo.
      J’aimerais bien savoir à quel piratage des photos de Zuck tu fais allusion Nikopik ?

      C’est bien beau de vouloir taper sur la sécurité de Facebook, mais il faudrait étayer un peu tout ça, parce que là ça m’a l’air plus du troll qu’autre chose.

      « Car aujourd’hui, vous pouvez accéder à n’importe quelle photo privée sans être connecté à Facebook. » + « sous condition d’avoir le lien », toute petite condition…

      • Nikowa   •  

        Surtout que les sources dates de 2009.

        Avec le lien d’une photo, on peut maintenant l’afficher dans facebook en effet, en récupérant son ID.
        « 10151231750127582 » pour ta photo Nikopik (si je me trompe pas)
        Tout tes amis ayant cet ID peuvent l’afficher et savoir qu’elle est de toi.
        Par contre, toute personne n’ayant pas les droits d’affichage de la photo, facebook renverra une page similaire à 404.

        Ton id de compte facebook n’est pas présente dans l’url, donc on ne peut pas retrouver le propriétaire ainsi.

        Donc « la faille » décrite n’est plus valable apparemment…

  2. Glenn   •  

    Dans tous les cas, on utilise pas facebook pour sa sécurité sans failles ! :D

    Super article, merci ;)

  3. flop25   •  

    j’ai envie de dire que le problème c’est l’accès initiale aux photos.
    Après le mec qu’y a accès il peut toujours faire « Enregistrez l’image » et la publier ailleurs hein ! Donc lien direct ou pas ça ne change que dalle !
    Je le redis c’est un problème d’accès initial aux photos et de la confiance que vous accordez aux gens qui y ont accès

  4. jefaispeuralafoule   •  

    Hummm bizarrement je ne suis pas d’accord avec le raisonnement « ce n’est pas une faille ». Je rappelle simplement une chose: Facebook demande à ses utilisateurs le statut d’échange des photos, à savoir « public/privé » etc etc.
    Dans ces conditions, si l’info est privée, elle ne doit en aucun cas être accessible hors du site Facebook, et ce uniquement à ceux autorisés à voir la dite info.

    De ce fait, que la photo soit visible hors de tout contexte de contrôle de connexion me semble être une faute de sécurité, même si dans l’absolu retrouver des photos par l’url me paraît quelque peu difficile… mais pas impossible.

    sachant d’ailleurs que nombre de comptes sont compromis chaque jour, m’est avis qu’il faudrait aussi palier à ce « trou » de sécurité.

    • MutoKenji   •  

      Pas impossible de retrouver des photos via l’URL ? C’est à dire ?

      Quel rapport avec le fait que nombre de comptes soient compromis chaque jour ?

      • jefaispeuralafoule   •  

        J’entends par là qu’il ne serait alors pas impossible que l’algo de construction de l’url puisse être aussi compromis d’une manière ou d’une autre, ceci permettant de ramasser « en masse » des photos.

  5. Allchimik   •  

    Ben si c’est une faille, mais pas de facebook. ça viens des prestataires, et on parie combien qu’ils sont moins protégé contre les attaques que facebook ?

    Rien que pour voir, je vais tester quelques manip de bases chez moi, mais à tous les coups ça sera prometteur…

    « même si dans l’absolu retrouver des photos par l’url me paraît quelque peu difficile… mais pas impossible. »
    Exact. Mais pas si compliqué que ça en fait…

  6. Stakhanov   •  

    C’est pareil pour consulter les profils hein, si votre profil est réglé en invisible, on pourra quand même le trouver en tapant le lien directement, c’est pas non plus la mort et au moins ça permet de partager avec les gens qui n’ont pas facebook ou qui n’y sont pas connectés h/24…

  7. dacrovinunghi   •  

    escalader les droits d’un fichier c’est une faille. Si une personne diffuse le lien alors d’autres peuvent consulter la photo sans droit.

    • Nikopik   •     Author

      Oui je peux la voir.

    • Kris   •  

      elle a une tête bizarre la tortue, non? :o)

  8. Stakhanov   •  

    Nan mais les bugs de facebook, c’est rigolo, une fois je remontais ma timeline et j’ai vu que j’ai liké un épisode de bref en 2009 :)

  9. carooo   •  

    est ce que ca veut dire que je peux m’attendre a voir une de mes photos de facebook sur un site de cul ????

    • vieux et gros   •  

      caroo tu serais pas de courbevoie?

      :)

  10. boogoss   •  

    oui carroo c est sur on va pouvoir te voir toutes nu loool

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>