« Comment j’aurais pu pirater tous les comptes Facebook »
Un blogueur signale une vulnérabilité Facebook et reçoit 15 000 dollars de récompense
Petit article aujourd’hui pour parler d’un cas rare, mais visiblement encore possible, de faille dans Facebook permettant de pirater un utilisateur du célèbre réseau social.
C’est Anand Prakash, un blogueur Indien qui a découvert la faille il y a deux semaines et l’a signalée à Facebook. Après vérification et correction, Facebook lui a offert 15 000 dollars en guise de récompense.
Plus d’informations
Anand explique sur son blog que la faille se situe au niveau de la page permettant de réinitialiser un mot de passe oublié :
Facebook envoie dès lors un code à 6 chiffres sur un numéro de téléphone ou une adresse e-mail associée au compte pour lequel on souhaite récupérer le mot de passe.
Après avoir essayé 10 à 12 fois de deviner le bon code en essayant des séries de chiffres différentes (attaque par force brute), Facebook a bloqué ses tentatives.
Le problème, c’est que la même page de réinitialisation à l’adresse beta.facebook.com et non pas facebook.com ne limitait pas les tentatives.
Démonstration de la vulnérabilité Facebook
Voici la vidéo de démonstration créée par l’auteur de la découverte :
ÉDIT : vidéo visiblement signalée et supprimée.
On voit Anand intercepter la requête sensible puis la relancer automatiquement, en incrémentant les numéros à chaque nouvelle requête.
Le bon code est trouvé en quelques minutes, il lui suffit de redéfinir le mot de passe du compte concerné (de son propre compte ici).
Anand a bien sûr utilisé son propre compte pour la démonstration, et a décidé de signaler la vulnérabilité plutôt que de se mettre à pirater tout le monde.
C’est ça le hacking éthique.
Il va également rejoindre les centaines d’autres hackers ayant contribué à la sécurité sur Facebook :
https://www.facebook.com/whitehat/thanks/
Et vous, pensez-vous que 15 000 dollars de récompense soit convenable pour ce type de vulnérabilité signalée ?
