Vidéo publique sur Facebook effacée par un internaute !

Dan Melamed, un expert en sécurité indépendant, nous a vraiment rendu service . L’année dernière, il a trouvé comment supprimer à distance une vidéo publique publiée sur Facebook, sans autorisation ni authentification.

Ensuite, il a eu le bon réflexe, à savoir de le signaler à Facebook.

Melamed a déclaré récemment dans un article publié sur son blog qu’il avait découvert la vulnérabilité critique en Juin dernier. En plus d’avoir trouvé un “kill switch” pour désactiver n’importe quelle vidéo publique, il a également découvert qu’il pouvait désactiver les commentaires associés.

Il a publié une vidéo YouTube en suivant toutes les étapes qui auraient permis à une personne malveillante de désactiver la vidéo publique :

 Facebook a corrigé la vulnérabilité en juillet, et a accordé à Melamed une prime bug bounty de 10 000 $.

Melamed a regardé la requête HTTP que son navigateur envoyait à Facebook quand il uploadait la vidéo publique. À l’aide d’un programme appelé Fiddler, il a intercepté la requête et a échangé l’ID de sa vidéo avec celle de la vidéo d’une victime, puis a envoyé la requête modifiée vers Facebook.

La méthode de Melamed est simple : tout d’abord, un cybercriminel créé un événement public sur Facebook ou visite un événement public existant. Ensuite, il se rend sur l’onglet “Discussion” de l’événement en question et créent un post relatif à l’événement en uploadant une photo ou une vidéo.

Il a constaté que lorsque vous échangiez la valeur du paramètre composer_unpublished_photo[0], concernant l’ID de la vidéo publique Facebook que vous vouliez supprimer, le serveur refusait, affichant ce message d’erreur :

Ce contenu n’est plus disponible.

Avec ou sans message d’erreur, la vidéo restera associée au post relatif à l’évènement en question.

Lorsqu’un cybercriminel actualise la page de “Discussion” concernant les événements, il voit que l’événement apparaît avec la vidéo de la victime. Ensuite, il suffit de cliquer sur une petite flèche et de choisir “Supprimer le message”.

Une boîte de dialogue vous avertira que la vidéo sera également supprimée des photos et des vidéos. Si vous confirmez dans la boîte de dialogue par oui, vous voulez supprimer la vidéo, Poof ! Elle disparaîtra dans les 20 à 30 secondes !

Mais, rendons à César ce qui est à César, Melamed a souligné que cette vulnérabilité était similaire à un autre bug permettant la suppression d’une vidéo, et qu’un expert en sécurité et test de pénétration indien, Pranav Hivarekar, a découvert, également en Juin 2016.

En résumé: alors que le bug découvert par Hivarekar permettait d’associer la vidéo d’une victime à un commentaire, Melamed a découvert un moyen de joindre la vidéo au post d’un événement. Supprimer l’eau du bain/le post de l’événement, et le bébé/la vidéo est supprimé par la même occasion !

Mark Stockley, un de nos experts sécurité chez Sophos, a écrit au sujet d’un bug similaire de type “Insecure Direct Object Reference” : ce bug a également fait son apparition durant le programme Bug Bounty de Facebook. Ce dernier avait à voir avec la manière de supprimer n’importe quel album photo Facebook visible.

Mark a proposé cette digression : Dans l’attaque de Melamed sur les vidéos, il spécifie l’ID d’une vidéo qu’il cible spécifiquement, mais comme les ID de vidéos ne sont que des nombres, il aurait pu juste en deviner une et l’effacer au hasard. … Ou peut-être une centaine … ou peut-être mille … ou encore plus.

Facebook aurait-il remarqué si Melamed s’était transformé en véritable diablotin en les effaçant toutes ? Serait-il intervenu pour arrêter le carnage vidéo avant que Facebook ne soit complètement vidé de toute sa substance !

Je pense que le réseau social aurait remarqué bien avant que son stock de vidéos ne soit la cible d’une menace réelle. Mais même si ce n’était pas le cas, il existe tellement de gens qui téléchargent des vidéos sur Facebook, et à une telle fréquence, qu’un cybercriminel aurait probablement besoin d’une infrastructure importante pour érafler ne serait-ce que la surface. Mais il est vrai que cela ne change rien s’il s’agit de votre vidéo !

L’erreur que Melamed a trouvée est appelée Insecure Direct Object Reference (la référence de l’objet est ce paramètre : composer_unpublished_photo[0]).

Lorsque Facebook a reçu la demande de Melamed pour supprimer la vidéo, il aurait dû remarquer que la vidéo qu’il tentait d’associer ne lui appartenait pas, et il aurait dû ignorer la demande. Mais Facebook ne l’a pas fait. En conséquence, il a été en mesure d’associer une vidéo publique qui appartenait à quelqu’un d’autre, avec un post qui lui appartenait.

Comme il s’agissait de son post, il pouvait sans aucun problème le supprimer. Mais cela n’aurait pas dû être le cas. Facebook aurait dû remarquer qu’il essayait de supprimer une vidéo qui ne lui appartenait pas, et il aurait dû l’arrêter dans sa folie furieuse de suppression.

En tout cas, il est important pour nous de dire …

Merci, aux lanceurs d’alerte sur Facebook !

Cela ne devrait surprendre personne que Melamed ait été inspiré par un expert en sécurité indien qui avait titillé Facebook au même moment. Il est intéressant de noter que pour une raison quelconque, les chasseurs de bug bounty en Inde sont très, très bon pour mettre Facebook en défaut.

En fait, comme Facebook a déclaré, ils permettent de transmettre leur savoir aux leaders demain.

Les hackers qui découvrent ces bugs, sont face à un choix : “white hat” ou “black hat” ? Certaines personnes essaient de causer le chaos, d’autres vendent leurs bugs aux “bad guys” et certains enfin travaillent pour le bien de tous. Ceux qui trouvent et dévoilent de façon responsable des failles de sécurité dans Facebook, Instagram, Twitter, et compagnie, rendent un précieux service, et leurs récompenses sont des primes bug bounty et des félicitations !

En parlant de cela, merci, Dan Melamed, du fond du cœur.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Vidéo publique sur Facebook effacée par un internaute ! : http://wp.me/p2YJS1-3es
Billet inspiré de How one man could have deleted any public Facebook video, par Lisa Vaas, Sophos NakedSecurity.