Un bug Facebook permettait de supprimer n'importe quelle vidéo de la plateforme grâce à une manœuvre d'une grande simplicité. Cette faille a été corrigée depuis son signalement par un internaute, qui a obtenu 10 000 dollars de récompense.

Le 29 juin dernier, Dan Melamed, expert en sécurité numérique, découvre un bug Facebook aux conséquences colossales : il permet à n’importe quel utilisateur d’effacer toutes les vidéos de son choix qui ont été mises en ligne sur la plateforme. Maintenant que le réseau social a corrigé cette faille, Dan Melamed s’est décidé à révéler comment elle fonctionnait, qui n’est pas la première du genre à être découverte sur la plateforme qui a plus d’un milliard d’utilisateurs.

Une récompense de 10 000 dollars

Pour parvenir à ce résultat, il lui suffisait ainsi de créer un événement Facebook et d’y mettre en ligne une vidéo ou une photo. Au moment de terminer le téléchargement, l’utilisation d’une extension de navigateur comme Fiddler lui permet simplement de changer l’ID de son contenu pour le remplacer par celui de la vidéo de son choix. Enfin, en supprimant son propre contenu, l’utilisateur fait aussi disparaître le contenu vidéo associé.

Si la manœuvre nécessitait de recourir à un outil externe, elle restait d’une grande simplicité et aurait pu perdurer pendant des années — ce qui a sans doute déjà été le cas — sur la plateforme. Dan Melamed s’est toutefois empressé d’en informer Facebook dès sa découverte. Un geste qui lui a permis d’être récompensé de 10 000 dollars conformément au principe du bug bounty, qui consiste à rémunérer les utilisateurs qui signalent tout bug ou faille de sécurité à l’entreprise concernée.

En novembre, un bug avait affiché la plupart des profils Facebook comme étant « décédés ».

Partager sur les réseaux sociaux