Suriya Prakash affirme avoir signalé le problème à l'équipe de sécurité de Facebook au mois d'août. A part une première réponse reçue le 31 août, tous ses autres e-mails ont été ignorés jusqu'au 2 octobre, date à laquelle un responsable de Facebook lui a répondu que le nombre d'informations, et notamment les numéros de téléphone, que l'on pouvait extraire du site, quel que soit le moyen utilisé, était limité. « Cependant, la version mobile du site web de Facebook - m.facebook.com - ne semble pas avoir de limitation en terme de taux de recherche », affirme de son côté le chercheur.

Jusqu'à dix scripts de recherche de numéros

Suriya Prakash a généré une liste de numéros comportant les préfixes pays des Etats-Unis et de l'Inde, il a créé un simple script de macros proof-of-concept (PoC) qui a recherché les numéros sur Facebook et il a sauvegardé ceux qui ont pu être associés à des profils Facebook, avec les noms de leurs propriétaires. Il a ensuite envoyé son script PoC à Facebook. Mais, n'ayant reçu aucune réponse, Suriya Prakash a décidé de divulguer publiquement la vulnérabilité. Il a même publié une liste de 850 numéros de téléphone avec les noms associés (il a masqué une partie des informations), et ce n'est qu'un extrait des données qu'il a pu obtenir à l'issue de ses tests. « Cela fait environ une semaine que j'ai commencé à faire tourner le script et je n'ai toujours pas été bloqué », a déclaré hier le chercheur par courriel. « J'en ai même informé Facebook ce matin je n'ai toujours pas eu de réponse ». Interrogé dès lundi sur la question par notre confrère d'IDG NS, le réseau social n'a pour l'instant fait aucun commentaire.

Suite à la divulgation publique de Suriya Prakash, Tyler Borland, un chercheur en sécurité auprès du vendeur de solutions de sécurité pour les réseaux Alert Logic, a créé un script encore plus efficace qui peut faire tourner jusqu'à dix scripts de recherche de numéros de téléphone en même temps sur Facebook. Il a nommé ce script « Facebook phone crawler » et il permet de rechercher des numéros de téléphone à partir d'une série de numéros spécifiés par l'utilisateur. « En utilisant les réglages par défaut, j'ai pu vérifier les données au rythme d'un numéro de téléphone par seconde», a déclaré Tyler Borland par email. « Facebook n'utilise aucun système de limitation de débit ou alors je n'ai pas atteint cette limite. Encore une fois, j'ai envoyé des centaines de requêtes dans un laps de temps très court et il ne s'est rien passé », a t-il ajouté. « En faisant tourner le script de Tyler Borland sur un grand botnet - plus de 100 000 ordinateurs - un attaquant pourrait trouver les numéros de téléphone et les noms de la plupart des utilisateurs de Facebook et les numéros mobiles associés à leurs comptes en quelques jours », a déclaré Suriya Prakash.

Risque d'escroquerie téléphonique

« Il est étonnant de voir que cette vulnérabilité existe encore et qu'il y a des outils publics disponibles pour l'exploiter », a déclaré par courriel Bogdan Botezatu, analyste senior spécialisé dans les menaces chez Bitdefender. « Très peu d'utilisateurs modifient leurs paramètres de confidentialité par défaut », a t-il aussi confirmé. « Cet exemple montre encore une fois comment on peut détourner une fonctionnalité formidable en apparence quand les mécanismes de sécurité sont mal appliqués ou totalement absents », a ajouté l'analyste. « Contrairement aux e-mails ou aux messages de blog, la recherche d'un utilisateur par son numéro de téléphone est beaucoup plus efficace pour mener par la suite des opérations de phishing vocal, essentiellement parce que l'utilisateur n'imagine pas que son numéro de téléphone a pu tomber entre de mauvaises mains. S'il détient des informations inscrites dans le profil utilisateur, un attaquant peut rapidement convaincre une personne de lui livrer des informations confidentielles. »

Selon Bogdan Botezatu, « le phishing vocal et autres types d'escroqueries téléphoniques sont fréquentes et ceux qui les pratiquent obtiennent de bon résultats », a t-il ajouté. « Imaginez alors si ces escrocs s'adressent à vous par votre nom complet et appuient leurs déclarations sur des informations récupérées directement dans votre profil Facebook ! »