Posté le avril 19, 2021 à 18:53
UN BUG DE CODAGE PERMET D’ACCÉDER À DISTANCE AUX VIDÉOS EN DIRECT DE FACEBOOK
Un rapport récent a révélé comment une erreur de codage dans les services de vidéo en direct de Facebook permettait aux acteurs malveillants de supprimer à distance le contenu des systèmes des victimes. Cependant, le géant des médias sociaux affirme avoir résolu le problème.
Le chercheur en sécurité Ahmad Talahmeh a récemment documenté la découverte, révélant comment le bug permet un accès à distance aux hackers.
Selon le chercheur, la vulnérabilité fonctionne avec le code preuve de concept (POC) qui déclenche l’attaque.
La vidéo en direct de Facebook permet de diffuser et de publier facilement des flux en direct. Bien qu’il s’agisse d’une nouvelle fonctionnalité, elle a été largement adoptée par des utilisateurs uniques, des organisations et des institutions du monde entier. Son adoption s’est accrue pendant cette période de la pandémie de COVID-19 où de nombreux travailleurs ont été contraints de travailler à domicile.
Les utilisateurs peuvent publier des flux en direct via des événements, des groupes ou une page. Une fois le livestream terminé, ils peuvent utiliser la fonction de découpage vidéo pour supprimer les contenus indésirables de leurs flux. Il s’agit d’une méthode efficace qui a satisfait à la fois les développeurs de contenu et les utilisateurs.
Cependant, le chercheur Talahmeh a découvert que cette fonction présentait un problème majeur. Elle permet à des personnes non autorisées de couper des contenus vidéo et même de les supprimer sans le consentement du propriétaire. Les chercheurs ont déclaré qu’une telle action inattendue peut entraîner des problèmes de confidentialité et de sécurité.
Le problème est déjà corrigé
Selon le chercheur, le problème principal se pose lorsque la vidéo est coupée à cinq millisecondes. Dans ce cas, la vidéo a une longueur de 0 seconde, ce qui est pratiquement vide, et il est impossible de la découper.
Après avoir obtenu l’identifiant de l’utilisateur actuel et l’identifiant de la vidéo en direct de la cible, le code contenant la demande de découpage de la vidéo peut être soumis pour supprimer la vidéo.
Le chercheur a fait part de ses découvertes à Facebook en septembre de l’année dernière, et le géant des médias sociaux s’est immédiatement attaqué au problème. Trois jours plus tard, Facebook a confirmé qu’un correctif avait été développé.
En guise de remerciement au chercheur pour sa découverte, Facebook a offert une récompense de 11 000 dollars par le biais de la BountyCon 2020. Le géant de la technologie a prévu des primes supplémentaires de 2 300 et 1 150 dollars à une date ultérieure.
Découpage des vidéos en direct
Talahmeh ne s’est pas contenté de fournir des informations sur la faille. Il a également fourni une explication détaillée sur les moyens de découper toute vidéo en direct sur la plate-forme, ce qui lui a valu une récompense supplémentaire de 2875 dollars.
En outre, un autre problème de sécurité semble avoir été découvert dans les mises à jour et les pages professionnelles de Facebook. Dans ce cas, Talahmeh a déclaré qu’il informait les clients de tout changement causé par la COVID-19, comme l’accès aux points de vente physiques, les livraisons ou les modifications des horaires d’ouverture.
La page COVID-19 Update peut être mise à jour avec les autorisations des analystes, qui sont généralement en lecture seule. Ce rapport supplémentaire de Talahmeh lui a valu une récompense supplémentaire de 750 dollars.
Un programme de primes est mis en place par les entreprises pour dédommager les chercheurs en sécurité et les hackers blancs de leurs efforts pour découvrir des vulnérabilités dans le réseau de l’entreprise. Il est généralement utilisé pour protéger le système contre les hackers du darknet qui veulent exploiter le système lorsqu’ils découvrent un bug.
Le programme de Facebook est l’un des plus populaires, car il a permis à d’innombrables chercheurs de recevoir une prime.
En mars, le chercheur en sécurité Alaa Abdulridha a reçu 55 000 dollars pour avoir découvert deux vulnérabilités dans une application tierce.
Le chercheur a montré comment les cookies d’authentification peuvent être exploités par l’application et manipuler ou compromettre les comptes des employés de Facebook.
Il a découvert une autre vulnérabilité qui lui permettait de modifier le compte utilisateur de n’importe quel administrateur à l’insu de son propriétaire. Cela montre qu’aucune entreprise n’est totalement à l’abri de toute exploitation, pas même les géants de la technologie avec toute la technologie à leur disposition.
Les chercheurs en sécurité ont toujours insisté sur la nécessité pour les employés et les autres utilisateurs de Facebook de rester vigilants et prudents lorsqu’ils envoient des informations vitales sur Internet.
