Facebook sous la menace de hackers

Zataz vient de révéler aujourd'hui une faille XSS (Cross Site Scripting) qui affecte le site communautaire Facebook. Cette attaque permet d'accéder aux informations utilisateurs depuis le mur de n'importe qui, entre autres, puisque le hacker malveillant peut aussi injecter des virus tels que des keyloggers ou récupérer directement les cookies du navigateur Internet. Alors que Facebook.com vient de détrôner Google.com de la première place de site le plus visité aux Etats-Unis, on peut espérer que des mesures seront prises très bientôt pour corriger la faille.

L'exploit, qualifié de 0day puisque disponible sur certains réseaux avant même d'avoir été corrigé par l'équipe de Facebook, est visible sur Youtube.

Voilà qui n'est pas tout à fait vrai pour certains pirates malintentionnés

De plus, Zataz souligne aussi la dangerosité de certaines applications qui pourraient mener à du phishing en redirigeant l'utilisateur, négligent la barre d'adresse Internet, vers une copie de Facebook qui pourrait alors récupérer ses informations.

Et là surprise!, un membre du groupe technique de Facebook répond que "Pour la redirection, ce n'est pas une faille. Les applications qui tournent en mode iframe peuvent executer du javascript dans leur propre context. Ils peuvent donc faire des redirections vers des sites tierces". En d'autres termes: ils ne peuvent rien faire d'autre qu'exercer un contrôle à posteriori du problème iframe, et ce sera sans commentaires concernant l'XSS pour le moment.