Une faille critique menaçait l'ensemble des comptes Facebook

Le par  |  8 commentaire(s)
Facebook

C'est une faille d'envergure qui a été mise au jour par un chercheur en sécurité et qui mettait en danger l'intégralité ou presque des comptes d'utilisateur de Facebook.

Gurkirat Singh a récemment mis en évidence une faille dans le système de récupération de compte qui permettait à n'importe qui de récupérer le compte Facebook de n'importe quel utilisateur.

La faille était aussi béante que simple à mettre en oeuvre : lorsque l'utilisateur clique sur "Mot de passe oublié" et renseigne son identifiant pour générer un nouveau mot de passe, Facebook génère un email avec un code d'activation à 6 chiffres permettant en théorie de valider l'appartenance du compte.

Sauf que la série de 6 chiffres ne représente qu'un simple petit million de combinaisons possibles. Et ce code reste valable tant qu'il n’a pas été utilisé. Une théorie vient alors rapidement : si plus d'un million d'utilisateurs envoie une requête de récupération de mot de passe en même temps, alors certains reçoivent obligatoirement le même code.

Hack Facebook

Pour appuyer ses hypothèses, le hacker s'est constitué une base de deux millions d'identifiants Facebook. Ensuite, un script s'est chargé d'envoyer une demande de récupération pour chaque identifiant, le tout opérant depuis plusieurs milliers d'adresses IP différentes. Ensuite, il suffisait de choisir un code à 6 chiffres au hasard, et de tenter une récupération de base... Et le tour est joué, le hacker a ainsi pu créer un nouveau mot de passe pour un des comptes ciblés.

Alors, certes, on ne peut pas vraiment cibler un compte en particulier, à moins de reproduire la procédure autant de fois qu'il le faut jusqu'à tomber par hasard sur le bon code d'activation, néanmoins, la faille reste relativement simple à exploiter.

Pour avoir partagé sa découverte, Gurkirat Singh n'a reçu qu'une prime de 500 dollars de la part de Facebook. Le réseau social a corrigé le tir en renforçant simplement les filtres au niveau des adresses IP, mais pas du tout le fonctionnement de son système à code 6 chiffres, ce qui fait que la faille reste potentiellement exploitable.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1919456
"la faille reste relativement simple à exploiter."

Oui faut juste avoir l'adresse email du gars à pirater...

Je vois pas comment le hacker a pu se constituer une base de données avec 2 millions d'adresse email...

Donc en gros c'est impossible à reproduire à moins de connaitre l'email que la victime à utilisé pour facebook.
Le #1919458
CodeKiller a écrit :

"la faille reste relativement simple à exploiter."

Oui faut juste avoir l'adresse email du gars à pirater...

Je vois pas comment le hacker a pu se constituer une base de données avec 2 millions d'adresse email...

Donc en gros c'est impossible à reproduire à moins de connaitre l'email que la victime à utilisé pour facebook.


Ça s'achète ce genre d'information
Le #1919479
CodeKiller a écrit :

"la faille reste relativement simple à exploiter."

Oui faut juste avoir l'adresse email du gars à pirater...

Je vois pas comment le hacker a pu se constituer une base de données avec 2 millions d'adresse email...

Donc en gros c'est impossible à reproduire à moins de connaitre l'email que la victime à utilisé pour facebook.


Ou pas, il suffit de récupérer les identifiants uniques de Facebook.


Le hacker en question a généré des identifiants aléatoires et comparé avec la réalité sur les URL Facebook avec une API.

Y'a qu'à tester en soumettant la page de son propre profil Facebook ici : http://findmyfbid.com/
On obtient son ID numérique Facebook du moment que le profil n'est pas configuré sur privé.... Suffit alors de faire une liste de chiffres aléatoires et d'utiliser une API pour les tester, puis de renseigner chaque numéro valide après l'adresse de Facebook pour retomber automatiquement sur l'identifiant, en lettres, de l'utilisateur.
Le #1919482
$500 pour une grosse faille découverte, c'est pas cher payé

Ca n'a pas dû être pris vraiment au sérieux, vu les mesures annoncées ensuite.
Le #1919485
CodeKiller a écrit :

"la faille reste relativement simple à exploiter."

Oui faut juste avoir l'adresse email du gars à pirater...

Je vois pas comment le hacker a pu se constituer une base de données avec 2 millions d'adresse email...

Donc en gros c'est impossible à reproduire à moins de connaitre l'email que la victime à utilisé pour facebook.


Ouais enfin, ça reste du "brute force" donc bon...
Le #1919543
skynet a écrit :

$500 pour une grosse faille découverte, c'est pas cher payé

Ca n'a pas dû être pris vraiment au sérieux, vu les mesures annoncées ensuite.


Je t'avoue que je suis même supris qu'il ait eu quelque chose. Facebook fait du bug bounty mais dans leurs conditions d'éligibilité tu ne dois pas utiliser un exemple réel pour appuyer tes faits il me semble (du genre "regarde Marc, là je pirate ton compte").
Le #1919588
Outpox a écrit :

skynet a écrit :

$500 pour une grosse faille découverte, c'est pas cher payé

Ca n'a pas dû être pris vraiment au sérieux, vu les mesures annoncées ensuite.


Je t'avoue que je suis même supris qu'il ait eu quelque chose. Facebook fait du bug bounty mais dans leurs conditions d'éligibilité tu ne dois pas utiliser un exemple réel pour appuyer tes faits il me semble (du genre "regarde Marc, là je pirate ton compte").


Clair, le dernier qui avait fait ça avait pris assez cher
Le #1919714
Et le jour ou ça va marcher le jour ou la faille va vraiment prendre de l'ampleur, ce jour là, on ramassera les morts au sol ....

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]