{"id":2093,"date":"2026-01-16T12:42:09","date_gmt":"2026-01-16T11:42:09","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/xs-leaks-chez-meta-4-failles-pour-vous-identifier\/"},"modified":"2026-01-16T12:42:09","modified_gmt":"2026-01-16T11:42:09","slug":"xs-leaks-chez-meta-4-failles-pour-vous-identifier","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/xs-leaks-chez-meta-4-failles-pour-vous-identifier\/","title":{"rendered":"XS-Leaks chez Meta – 4 failles pour vous identifier"},"content":{"rendered":"

Youssef Sammouda, un chercheur en s\u00e9curit\u00e9 connu sous le pseudo sam0, vient de publier
\nun article d\u00e9taillant pas moins de 4 vuln\u00e9rabilit\u00e9s de type XS-Leaks<\/a>
\nqu’il a d\u00e9couvertes chez Meta. Pour vous la faire courte, ce genre de faille permet \u00e0 un site malveillant de d\u00e9duire des informations sur vous sans m\u00eame avoir besoin de pirater quoi que ce soit. Heureusement, tout a \u00e9t\u00e9 patch\u00e9 depuis !<\/p>\n

La premi\u00e8re faille concernait Workplace<\/strong> (la version entreprise de Facebook) et son int\u00e9gration avec Zoom. En gros, un attaquant pouvait cr\u00e9er une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l’utilisateur \u00e9tait connect\u00e9 ou non \u00e0 Meta Work, la redirection se comportait diff\u00e9remment. Et l\u00e0, pouf, l’attaquant savait si vous \u00e9tiez un utilisateur Meta Work. Pas besoin d’acc\u00e9der \u00e0 vos donn\u00e9es, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqu\u00e9 2 400 dollars pour cette trouvaille.<\/p>\n

La deuxi\u00e8me faille, c’\u00e9tait le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu’on trouve sur des millions de sites web ? Eh bien si vous \u00e9tiez connect\u00e9 \u00e0 Facebook, le plugin pouvait r\u00e9v\u00e9ler si vous aviez lik\u00e9 une page sp\u00e9cifique ou pas. Un attaquant n’avait qu’\u00e0 mesurer le nombre de frames dans l’iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.<\/p>\n

La troisi\u00e8me \u00e9tait plus technique et bien trouv\u00e9e. Le fichier signals\/iwl.js de Facebook utilise Object.prototype pour ses op\u00e9rations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs diff\u00e9rentes selon l’\u00e9tat de connexion de l’utilisateur, et m\u00eame r\u00e9cup\u00e9rer son ID Facebook. \u00c7a, \u00e7a valait 3 600 dollars.<\/p>\n

Et voil\u00e0, la quatri\u00e8me concernait l’identification des employ\u00e9s Meta eux-m\u00eames via les domaines internes. Celle-l\u00e0 n’a pas rapport\u00e9 de bounty (juste un “informative”), mais elle montre bien l’\u00e9tendue du probl\u00e8me.<\/p>\n

Au total, Youssef a empoch\u00e9 8 400 dollars entre d\u00e9cembre 2024 et mai 2025, le temps que Meta corrige tout \u00e7a. Alors oui, c’est cool que ces failles soient maintenant corrig\u00e9es mais \u00e7a fait quand m\u00eame r\u00e9fl\u00e9chir sur la quantit\u00e9 de donn\u00e9es qui peuvent fuiter sans m\u00eame qu’on s’en rende compte.<\/p>\n

Pour ceux qui veulent creuser le fonctionnement des
\nprogrammes de bug bounty<\/a>
\n, c’est vraiment un syst\u00e8me g\u00e9nial et hyper vertueux o\u00f9 tout le monde est gagnant. Les chercheurs sont pay\u00e9s pour trouver des failles, les entreprises patchent avant que les m\u00e9chants n’exploitent. Y’a vraiment de quoi faire dans ce domaine.<\/p>\n

Bref, bien jou\u00e9 Youssef Sammouda, gr\u00e2ce \u00e0 lui quelques failles de moins chez Meta, et \u00e7a c’est cool !<\/p>\n

\n Source<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"