GoPlus révèle des failles de conception à haut risque de Meta, la restauration d’une fonctionnalité divulgue des informations sensibles des utilisateurs

La société de sécurité blockchain GoPlus a révélé sur X, le 8 juin, une faille de conception à haut risque dans la fonctionnalité de récupération de compte du compte Meta : l’attaquant n’a qu’à saisir le nom d’utilisateur META, sans aucune connexion ni vérification, pour obtenir directement des informations PII complètes (données personnelles sensibles) liées à l’utilisateur, comme l’e-mail et le numéro de téléphone. D’après le quotidien britannique « The Metro », International Cyber Digest a confirmé cette vulnérabilité.

Recommandations de sécurité de GoPlus

Mesures de protection utilisateurs publiées par GoPlus pour cette vulnérabilité :

· Supprimer ou remplacer l’e-mail/le numéro de téléphone divulgué comme méthode de récupération de compte

· Modifier les mots de passe des comptes concernés et activer la double authentification (2FA)

· Ne cliquer sur aucun e-mail ni SMS lié à « anomalie de compte », « vérification » ou « réinitialisation de mot de passe »

· Vérification multi-voies : via des documents officiels ou d’autres canaux de médias sociaux officiels pour vérifier l’authenticité de l’information

Cas d’impact de la vulnérabilité confirmés

International Cyber Digest a posté sur X en confirmant : « Meta a de nouveau de gros problèmes : sa fonctionnalité de récupération de compte permet d’obtenir des informations d’identité personnelle complètes du compte uniquement à partir du nom d’utilisateur, y compris l’e-mail et les numéros de téléphone. Nous avons vérifié cette affirmation et constaté qu’elle concerne des comptes de réseaux sociaux appartenant à plusieurs personnalités publiques. »

Les comptes confirmés comme étant impactés incluent : le joueur du Madrid Kylian Mbappé (divulgation de ses informations de compte TikTok personnelles), l’épouse de Cristiano Ronaldo Georgina Rodriguez, l’ancien compte Instagram de la Maison-Blanche (anciennement détenu par Barack Obama, avec plus de 2,4 millions de fans) et l’ancienne ingénieure sécurité de Meta Jane Manchun Wong. GoPlus a également indiqué que la communauté a rendu publiques des informations personnelles liées au compte META de Mark Zuckerberg afin de vérifier l’existence de la vulnérabilité.

Questions fréquentes

Quelle est la méthode d’attaque précise de cette vulnérabilité ?

D’après les explications de GoPlus et d’International Cyber Digest, l’attaquant utilise la fonctionnalité de récupération de compte de Meta : il lui suffit de saisir le nom d’utilisateur du compte cible, sans aucune donnée d’identification ni authentification d’identité, pour pouvoir consulter directement les PII complètes liées à ce compte, y compris l’adresse e-mail et le numéro de téléphone.

Quelle est la réponse de Meta à cette vulnérabilité ?

D’après le rapport, Meta a ensuite indiqué que « le problème a été résolu », mais Meta n’a pas publié de détails sur la manière dont la vulnérabilité a été corrigée, le moment de sa découverte, ni sur le volume des utilisateurs affectés.

Quel lien existe-t-il entre cette vulnérabilité et celle des robots conversationnels d’IA Meta ?

Les deux vulnérabilités constituent des événements de sécurité distincts, mais le calendrier est proche. La vulnérabilité du robot conversationnel d’IA Meta a été révélée plus tôt : elle a été utilisée pour modifier les mots de passe d’autrui, ce qui a entraîné le piratage d’environ 100 comptes de grande valeur ; la fuite des PII via la vulnérabilité de la fonctionnalité de récupération de compte est une faille de conception nouvellement exposée, survenue quelques jours après l’incident lié au robot conversationnel.