Gravatar couramment utilisé Blog perso de Paul Da Silva

Facebook, Twitter : analyse d’une gestion de crise

Posted on | mai 11, 2010 | 1 Comment

En règle générale j’évite d’écrire sur l’actualité pour la simple et bonne raison que beaucoup de monde s’en charge déjà et que ça ne m’intéresse pas d’entrer dans une guerre de positionnement sur de la news.

Mais pour écrire cet article en particulier je vais devoir rebondir sur l’actualité de ces derniers jours : la mise à mal successive des deux plus gros réseaux sociaux actuellement en place par des failles à la limite du 0day et surtout la façon dont les deux start-ups devenues multinationales ont su (ou pas d’ailleurs) gérer la crise.

Les failles

Petit retour sur les deux failles dont je vais vous parler ici afin que vous puissiez suivre la gravité de la situation si vous étiez dans un igloo cette semaine.

Facebook

Mercredi dernier (le 5 mai donc), Techcrunch publie un article expliquant qu’une simple manipulation permet de voir le chat Facebook d’autres comptes que le sien. L’exploit est ultra-simple et permet aussi d’avoir accès aux dernières demandes d’ajout, derniers messages et dernières notifications. Il suffit pour cela de se rendre dans la partie « Privacy settings » (Paramètres de confidentialité) et d’utiliser la fonctionnalité permettant de voir son profil comme le voit un de ses amis.

En allant un peu plus loin on se rend compte qu’il suffit d’ajouter le paramètre ?viewas=[id du profil cible] à l’url de son profil personnel pour avoir accès à toutes ces informations sensibles – que l’on soit ami avec la personne ou non.

Twitter

Hier (le 10 mai donc), Gizmodo publie un article (supprimé depuis mais dont vous pouvez retrouver l’essence du contenu chez l’ami Korben – en français en plus !) expliquant que l’on peut, depuis l’interface web de twitter, et sans aucune connaissance en informatique là encore, forcer n’importe qui à devenir l’un de vos followers.

Il suffit pour cela, en lieu et place de votre statut, de taper « accept username » où username serait le nom d’utilisateur twitter de la personne que vous voulez voir apparaître dans votre liste de followers – « accept Paul_Da_Silva » par exemple…

La gestion de la crise

Ces deux failles sont énormes et simplicimes d’exploitation, vous en conviendrez. Il y a d’ailleurs du y avoir quelques personnes qui se sont fait taper sur les doigts dans les HQ des deux sociétés concernées… Du coup très vite les articles pleuvent un peu partout sur la toile et, compte tenu de la simplicité des failles, les deux sociétés doivent agir dans l’urgence pour éviter que l’anarchie s’empare de leurs sites respectifs.

La réaction Facebook

« Euh… Sérieusement les gars ?! » C’est à peu près la réaction que j’ai eu en voyant les mesures prises par Facebook pour protéger notre vie privée face à cette faille énorme. En effet, les petits gars de Zuckerberg se sont contenté de désactiver le chat – sans explication et en laissant le reste de la faille ouverte le temps de patcher tout cela. La bonne solution aurait été de carrément désactiver la fonctionnalité « viewas » qui posait problème non ? Et franchement niveau code une bête ligne aurait suffit à cela :

if(isset($_GET[‘viewas’])) $_GET[‘viewas’] = 0000;

La réaction twitter

Là c’est un peu plus compliqué : la faille permet de réellement altérer le fonctionnement de Twitter et les abonnements de diverses personnes devaient déjà avoir été modifiés. La solution du petit oiseau bleu : on remet tous les compteurs à zéro (followers et following) le temps de patcher la faille et de tracker les vilains profiteurs qui se sont ajouté des following.

Niveau communication ça donne quoi ?

Si twitter a assez vite réagi en publiant un message sur leur blog suivi de plusieurs updates au fur et a mesure de la résolution du problème, Facebook est resté complètement muet sur le problème qu’ils ont subi, prétextant une maintenance pour justifier de la désactivation du chat pendant plusieurs heures.

Si l’on peut apprécier la transparence de twitter, on est en droit de se demander si la politique de Facebook n’a pas aussi ses avantages : même s’ils ont volontairement caché une faille de sécurité mettant (encore un peu plus) à mal la confidentialité des données présentes sur son réseau, beaucoup moins de monde a pu en profiter que s’ils avaient publié un message sur la homepage de tous les utilisateurs précisant les raisons de la désactivation du chat…

Bref en un mot il n’y a pas de solution miracle de gestion de la crise, mais une fois ladite crise passée il aurait été appréciable que Facebook informe les utilisateurs du fait que leurs données avaient été rendues « publiques » l’espace de quelques heures. Solution surement écartée pour éviter une vague de désinscription qui est déjà bien amorcée.

En passant, j’en profite pour vous inviter à me suivre sur twitter, vu que je ne peux plus vous ajouter moi même : @Paul_Da_Silva

Commentaires

One Response to “Facebook, Twitter : analyse d’une gestion de crise”

  1. Rick
    mai 11th, 2010 @ 19 h 46 min

    :O
    Hallucinant !

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo
1GZnMQ9wXyifxCnDEqg8CSGdngWcKWptHv

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Relationship Closeness Inventory

Promo code Genesis Mining

Sha 256 cloud mining

Best Bitcoin debit card

Zcash Mining