Il était possible de supprimer n'importe quelle vidéo sur Facebook en un tournemain
Le 29 juin dernier, Dan Melamed, expert en sécurité numérique, découvre un bug Facebook aux conséquences colossales : il permet à n'importe quel utilisateur d'effacer toutes les vidéos de son choix qui ont été mises en ligne sur la plateforme.
Une récompense de 10 000 dollars
Pour parvenir à ce résultat, il lui suffisait ainsi de créer un événement Facebook et d'y mettre en ligne une vidéo ou une photo. Au moment de terminer le téléchargement, l'utilisation d'une extension de navigateur comme Fiddler lui permet simplement de changer l'ID de son contenu pour le remplacer par celui de la vidéo de son choix. Enfin, en supprimant son propre contenu, l'utilisateur fait aussi disparaître le contenu vidéo associé.
Si la manœuvre nécessitait de recourir à un outil externe, elle restait d'une grande simplicité et aurait pu perdurer pendant des années -- ce qui a sans doute déjà été le cas -- sur la plateforme. Dan Melamed s'est toutefois empressé d'en informer Facebook dès sa découverte. Un geste qui lui a permis d'être récompensé de 10 000 dollars conformément au principe du bug bounty, qui consiste à rémunérer les utilisateurs qui signalent tout bug ou faille de sécurité à l'entreprise concernée.
En novembre, un bug avait affiché la plupart des profils Facebook comme étant « décédés ».