Un défaut dans la fonction « Aperçu du profil en tant que » a permis à des gastronomes de la donnée personnelle de générer des « jetons d’accès », sortes de clefs numériques qui offrent à chaque usager la possibilité de demeurer connecté à leur compte sans avoir à saisir à nouveau leurs identifiants/mots de passe. Dixit les services techniques de Facebook, au fil d’un communiqué expliquant cette attaque relativement complexe.
Il s’agit en fait de l’exploitation de trois défauts qui, combinés, peuvent offrir aux attaquants accès au compte FB. La faille a été colmatée et le service « aperçu du profil en tant que » a été suspendu pour une durée indéterminée.
Outre l’accès aux minutes onaniques Facebookienne, on ne peut oublier les fonctions d’authentification et de « single sign on » que ce réseau social apporte à de multiples services et sites Web étrangers à Facebook. Si l’authentification du site principal est compromise, n’existerait-il pas un risque que cette attaque puisse déborder et affecter d’autres serveurs utilisant ladite authentification ? Une sorte de « pass the hash » modernisé. Cette hypothèse reste cependant improuvée, et les services sécurité de la Zuckerberg’s company considèrent ce scénario comme peu probable.
Dans tous les cas de figure, cette inconsistance logicielle rappelle à chacun que les services d’un réseau social ne doivent pas être confondus avec une banque de mot de passe.