Facebook : un énorme oubli permettait de hacker tous les comptes

Le par  |  5 commentaire(s)
Facebook-reaction-surprise

Pour avoir découvert un bug de sécurité dont l'exploitation donnait potentiellement le plein accès à n'importe quel compte Facebook, un hacker indien a reçu la somme de 15 000 dollars.

Facebook pourrait presque paraître radin avec sa récompense de 15 000 dollars offerte à Anand Prakash, compte tenu de l'énorme potentiel de dangerosité de sa trouvaille. Sauf que la faille en question ne brillait pas particulièrement par sa complexité. Cet ingénieur en sécurité informatique et chasseur de bugs de sécurité figurait déjà dans le temple de la renommée de Facebook consacré aux hackers qui lui rapportent des vulnérabilités. Le 22 février, il a alerté le réseau social au sujet d'un gros souci.

Sans aucune interaction de la part d'un utilisateur, le hacker indien avait en sa possession le pouvoir d'accéder à tous les comptes Facebook. Autrement formulé, il pouvait pirater n'importe quel compte Facebook. Anand Prakash explique que des mesures de sécurité faisaient défaut dans certaines versions de Facebook. Des attaquants pouvaient ainsi réinitialiser les mots de passe des comptes - et en paramétrer de nouveaux - à l'insu d'un utilisateur.

Facebook avait omis de faire barrage aux attaques par force brute sur ses plates-formes beta.facebook.com et mbasic.beta.facebook.com. Lorsqu'un utilisateur oublie son mot de passe, il peut demander une réinitialisation en saisissant son adresse email, numéro de téléphone, nom d'utilisateur ou nom complet (des informations qui se retrouvent facilement à des degrés divers). Un code à six chiffres est ensuite envoyé et doit être saisi afin de s'assurer qu'il s'agit bien de l'utilisateur légitime.

Grâce à une attaque par force brute sur son propre compte afin de trouver le code à 6 chiffres sans le connaître au préalable, Anand Prakash a pu tester avec succès le paramétrage d'un nouveau mot de passe lui donnant un accès complet. Sur les pages de bêta, il n'y avait tout simplement pas de limite pour les diverses tentatives contrairement au site principal de Facebook (un blocage après une dizaine de tentatives non valides).

Avec un script, le hacker indien pouvait donc tester autant de possibilités que souhaité jusqu'à tomber sur la bonne et ainsi paramétrer un nouveau mot de passe pour n'importe quel utilisateur de Facebook. Après signalement, le problème a été corrigé le lendemain. On fera remarquer que pour son exploit, Anand Prakash n'évoque pas le cas de la présence éventuelle d'une authentification à deux facteurs qui aurait compliqué la tâche. Y-avait-il une implémentation dans les page en bêta ?

  

Facebook a lancé un programme de Bug Bounty en août 2011. L'année dernière, cette chasse aux bugs de sécurité a récompensé 210 hackers ayant rapporté 526 bugs. La somme totale déboursée a été de 936 000 dollars (plus de 4,3 millions de dollars depuis le début du programme). Avec l'Égypte et Trinité-et-Tobago, les hackers en Inde sont ceux qui ont reçu le plus grand nombre de paiements en 2015.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1884742
Comme on le disait avec Luxus ce matin, faut vraiment pas être malin pour avoir laissé une faille aussi grosse, même sur des versions de test quoi...
Le #1884745
Il aurait dù faire monter les enchères (s'il le faut avec l'aide d'un avocat)
Si Facebook s'en tire bien sur le coup, en gardant un temps d'avance sur les hackers, il n'y est pas pour rien cet informaticien !


Le #1884751
DeepBlueOcean a écrit :

Il aurait dù faire monter les enchères (s'il le faut avec l'aide d'un avocat)
Si Facebook s'en tire bien sur le coup, en gardant un temps d'avance sur les hackers, il n'y est pas pour rien cet informaticien !


$15k c'est rien au regard d'une découverte qui aurait pu etre très dommageable pour FB.......un hacker américain aurait négocié a $150K minimum....


Le #1884761
Morpheus005 a écrit :

DeepBlueOcean a écrit :

Il aurait dù faire monter les enchères (s'il le faut avec l'aide d'un avocat)
Si Facebook s'en tire bien sur le coup, en gardant un temps d'avance sur les hackers, il n'y est pas pour rien cet informaticien !


$15k c'est rien au regard d'une découverte qui aurait pu etre très dommageable pour FB.......un hacker américain aurait négocié a $150K minimum....


J'avoue qu'il s'est fait douiller
Le #1884773
Mon dieu Facebook
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]