« Comment j’aurais pu pirater tous les comptes Facebook »

  1. Accueil
  2. Actualités
  3. « Comment j’aurais pu pirater tous les comptes Facebook »

Un blogueur signale une vulnérabilité Facebook et reçoit 15 000 dollars de récompense

Petit article aujourd’hui pour parler d’un cas rare, mais visiblement encore possible, de faille dans Facebook permettant de pirater un utilisateur du célèbre réseau social.

C’est , un blogueur Indien qui a découvert la faille il y a deux semaines et l’a signalée à Facebook. Après vérification et correction, Facebook lui a offert 15 000 dollars en guise de récompense.

Plus d’informations

Anand explique sur son blog que la faille se situe au niveau de la page permettant de réinitialiser un mot de passe oublié :

https://www.facebook.com/login/identify?ctx=recover&lwv=110

Facebook envoie dès lors un code à 6 chiffres sur un numéro de téléphone ou une adresse e-mail associée au compte pour lequel on souhaite récupérer le mot de passe.

Après avoir essayé 10 à 12 fois de deviner le bon code en essayant des séries de chiffres différentes (attaque par force brute), Facebook a bloqué ses tentatives.

Le problème, c’est que la même page de réinitialisation à l’adresse beta.facebook.com et non pas facebook.com ne limitait pas les tentatives.

Démonstration de la vulnérabilité Facebook

Voici la vidéo de démonstration créée par l’auteur de la découverte :

ÉDIT : vidéo visiblement signalée et supprimée.

On voit Anand intercepter la requête sensible puis la relancer automatiquement, en incrémentant les numéros à chaque nouvelle requête.

Le bon code est trouvé en quelques minutes, il lui suffit de redéfinir le mot de passe du compte concerné (de son propre compte ici).

Anand a bien sûr utilisé son propre compte pour la démonstration, et a décidé de signaler la vulnérabilité plutôt que de se mettre à pirater tout le monde.

C’est ça le hacking éthique.

Il va également rejoindre les centaines d’autres hackers ayant contribué à la sécurité sur Facebook :

https://www.facebook.com/whitehat/thanks/

Et vous, pensez-vous que 15 000 dollars de récompense soit convenable pour ce type de vulnérabilité signalée ?

Articles similaires

Commentaires
Cliquez ici pour ajouter un commentaire

  • Pour une entreprise pareil, Facebook aura du payer l’indien plus que la somme citée. A mon avis la somme convenable est de 30 000 Dollars

    Répondre
  • coco ser vice
    30 mars 2016 21 h 55 min

    5FeHQC Lovely website! I am loving it!! Will come back again. I am bookmarking your feeds also

    Répondre
  • Une faille de sécurité aussi « bête » dévoilée sur la toile dans l’ombre de facebook = des tonnes de SK qui laisseraient tourner leurs ordinateur(s) pour exploiter celle-ci. Piqué initialement par un ou deux, puis par une centaine, des milliers, des millions, soit des tas de plaintes reprochant la sécurité informatique de Facebook. Sans oublier que viendrait le tour des développeurs/codeurs mal intentionnés qui automatiseraient la procédure avec des combos mail:pass.

    Les 15,000€ ne sont selon moi pas suffisant pour le rapport d’une faille aussi bête à Facebook, surtout vu l’argent qu’ils gagnent chaque jours.

    Répondre
  • bjr jai un soucis.pouvez vous m’aider a tracé un apèl qui vien du meme pays que moi et qui presente les caractères d’un appel en international

    Répondre
  • Je pense que 15 000 € n’est pas à la hauteur de ce service. Si l’on compte l’argent que Facebook aurai perdu avec cette faille, c’est totalement disproportionné.

    Répondre
  • Bonjour Mr j ai besoin de vous inbox

    Répondre
  • SVP j’ai besoin d’aide une personne pirate tout mes compte et pourtant je n’ai pas les mêmes mots de passe et je suis prudente.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Menu