Le Palestinien Khalil Shreateh, expert en sécurité, a découvert une faille de sécurité sur le site Facebook. Pour que cette dernière soit prise en compte rapidement par les services de Facebook, il a décidé de poster un message directement sur le Mur de Mark Zuckerberg. Une opération théoriquement impossible, Khalil ne faisant pas partie des amis du PDG.
La faille en question permet donc à n’importe quel utilisateur de publier des messages sur les profils de tous les utilisateurs, même s’ils ne font pas partie de leur liste d’amis.
Khalil avait signalé ce problème via le programme « Whitehat » de Facebook récompensant les experts en sécurité qui signaleraient des bugs au réseau social. Dans un premier temps, l’équipe sécurité de Facebook lui a répondu que le lien qu’il avait transmis n’était pas valide. Dans un second email, celle-ci lui répondit qu’il ne s’agissait pas d’un bug.
Pour prouver ses dires, Khalil a alors publié ce message sur le Mur de Mark Zuckerberg, ainsi le problème ne pouvait plus être ignoré !
Quelques minutes après, il a été contacté par le service sécurité informatique du réseau social. Son compte Facebook a été désactivé « par précaution » et la faille a été corrigée.
Mais Khalil n’a pas reçu la récompense du programme Whitehat : Facebook a estimé que le chercheur avait enfreint les règles d’utilisation du site et n’avait pas suivi les principes d’une divulgation responsable. Son rapport aurait manqué de précisions pour permettre à Facebook de reproduire le bug et d’agir en conséquence.
Mise à jour du 21/08/2013:
Facebook a publié une note dans laquelle il reconnait son erreur de communication avec le hacker: “Nous avons été trop hâtifs voire dédaigneux“. Le réseau social précise qu’il compte améliorer son système de messagerie pour le programme Whitehat.
Précisons également que suite au refus de Facebook de l’indemniser pour sa découverte, la communauté des hackers a décidée de se cotiser. En à peine plus de 24 heures, 10 000 dollars ont été réunis pour Khalil Shreath.
