Facebook corrige une erreur de codage permettant de supprimer une vidéo en direct

Spread the love
Facebook corrige une erreur de codage permettant de supprimer une vidéo en direct

Plus de peur que de mal. Facebook vient de résoudre un problème de codage dans son service de vidéo en direct. Celui-ci permettait de supprimer efficacement du contenu diffusé en direct sans le consentement de ses auteurs. Le 17 avril, le chercheur en sécurité Ahmad Talahmeh avait publié un avis expliquant le fonctionnement de la vulnérabilité, ainsi qu’un code de preuve de concept (PoC) capable de déclencher une attaque.

La vidéo en direct de Facebook permet aux utilisateurs de diffuser et de publier des flux en direct, une fonctionnalité largement adoptée non seulement par les particuliers, mais aussi par les entreprises – en particulier durant la crise sanitaire actuelle. Les propriétaires peuvent publier des flux en direct via une page, un groupe et un événement. Une fois la diffusion terminée, les utilisateurs peuvent effectuer un découpage vidéo pour supprimer le contenu inutile de leurs flux, par exemple en supprimant les horodatages de départ et d’arrivée.

Reste que le chercheur en sécurité Ahmad Talahmeh a récemment découvert que cette fonctionnalité permettait de découper les vidéos en direct au nom des propriétaires jusqu’à les supprimer, un comportement inattendu qui pourrait avoir des répercussions sur la vie privée et la sécurité. Selon le chercheur, le problème réside dans le découpage de la vidéo en cinq millisecondes. « Si la vidéo est coupée à cinq millisecondes, elle ne durera plus que 0 seconde et le propriétaire ne pourra plus la couper », explique ce dernier.

publicité

Bug Bounty killer

Après avoir obtenu l’identifiant de la vidéo en direct ciblée et l’identifiant de l’utilisateur actuel, il est possible de soumettre un code contenant une demande packagée de découpage de la vidéo qui supprime la vidéo. Le chercheur Ahmad Talahmeh a fait part de ses découvertes au réseau social le 25 septembre 2020. Le problème a été trié en deux heures et un correctif a été confirmé par Facebook trois jours plus tard. Une prime de 11 000 dollars a alors été attribuée par l’intermédiaire de BountyCon 2020 et deux autres primes, de 1 150 et 2 300 dollars, ont été accordées ultérieurement par Facebook.

Le chercheur de bug bounty a détaillé séparément un moyen de découper n’importe quelle vidéo en direct sur la plateforme, un rapport de bug bounty d’une valeur de 2 875 dollars. En outre, celui-ci a découvert un autre problème de sécurité concernant les pages commerciales de Facebook et les mises à jour informant les clients de tout changement provoqué par la Covid-19, comme des modifications des horaires d’ouverture, des livraisons ou de l’accès aux points de vente physiques.

Le système “Coronavirus (COVID-19) Update From {page name}” a pu être mis à jour avec des autorisations d’analystes – qui sont normalement en lecture seule – et ce rapport a rapporté 750 dollars à Ahmad Talahmeh. Interrogé par la rédaction de ZDNet, Facebook n’avait pas encore répondu à l’heure où ces lignes étaient écrites.

Source : ZDNet.com

Leave a Reply