[Facebook] Et si vos contenus ‘privés’ étaient malgré tout publics !

capture

 

Une fois n'est pas coutume, et malgré les efforts acharnés de Facebook pour changer cette image ... sa politique en matière de "donnée privée" est de nouveau remise en cause ...

 

Pour vous mettre, bien dans le contexte, j'étais entrain de réaliser un proof of concept (une preuve), permettant de démontrer comment ... à distance, deviner, si une personne est connectée ou non,  à son compte Facebook.
Pour cela, je suis parti de l'hypothèse qu'une photo avec des droits restreints ... n'était normalement pas consultable depuis un autre compte, et surtout pas en  "publique" !

 

capture1

 

Aussi, pour réaliser ce "poc" (proof of concept), j'ai récupéré l'url (l'adresse) d'une image normalement "restreinte" à un petit groupe de personnes ...

 

capture2

 

Puis j'ai commencé à écrire un script  ....

 

var hack = document.createElement('img');
hack.src = "https://scontent-ams3-1.xx.fbcdn.net/v/t1.0-9/....983321788_n.jpg";
hack.addEventListener('load', function(){ alert("Je sais que tu es connecté"); });
document.getElementsByTagName('html')[0].appendChild(hack);

 

... tout fier, et plutôt sûr de moi ...
J'ai voulu le tester en me connectant en "navigation privée" (sans cookies, ni autres données permettant de m'identifier).

capture
L'utilisation de la "navigation privée", était là pour simuler un utilisateur non connecté à Facebook ...

Sauf que je parvenais malgré tout à afficher l'image !!!! Tout en étant non "connecté"

 

capture3

 

J'ai récidivé sur des images uniquement consultables par moi ...

 

capture

 

Et devinez quoi ?

Pareil, le lien vers l'image était toujours valide ...
On aurait pu imaginer un contrôle de l'utilisateur sur l'affichage des images sur Facebook ... mais non ...

Qu'est-ce que ça signifie ?

 

Que mon script est obsolète ... mais ça tout le monde s'en fout ...
Plus concrètement ça signifie que n'importe qui dans vos amis, peut partager un lien vers vos images, et donc partager vos images ...
Bien entendu, même si Facebook contrôlait l'utilisateur, ça n'empêcherait pas les captures d'écran ... ou l'enregistrement des images ...

Sécurité 0

 

Désactiver le clic droit sur les images, contrôler les utilisateurs qui consultent les images et SURTOUT ne pas laisser le contenu "privé" accessible à des utilisateurs non inscrits ....
Récupération des images par des requêtes POST + vérification de l'origine de la requête ...
Quelques mesures qui iraient probablement dans le bon sens quant à la vie privée des personnes inscrites sur Facebook

Conclusion

 

Faites vraiment attention à ce que vous partagez sur Facebook, et surtout avec qui vous le partagez ....
Le lien vers l'image que vous partagerez contient des tokens (données qui vous identifient) ...

capture

La personne qui consultera ce lien, pourra la voir comme si elle était vous ... sans autre forme de contrôle

 

 

 

 

 

Partagez ce contenu

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *