Clicky

Cette faille aurait pu coûter très cher à Facebook

Anand Prakash travaille depuis plusieurs années comme chercheur en sécurité. Il passe le plus clair de son temps à tester les différents services des géants du web pour éprouver les protections mises en place par leurs ingénieurs et c’est ainsi qu’il est tombé sur une faille critique sur Facebook ou, plutôt, sur la version bêta de la plateforme.

Il arrive fréquemment que des failles soient détectées au sein des services web mais celle-ci détenait sans aucun doute possible la palme, et ce pour une raison assez évidente : Anand aurait pu l’utiliser pour pirater n’importe quel compte Facebook.

Faille Facebook

Facebook a frôlé la catastrophe.

Ce qui inclut le mien, le vôtre, mais aussi celui de Mark Zuckerberg, Kim Kardashian ou même Barack Obama.

Il aurait pu utiliser cette faille pour pirater n’importe quel compte Facebook

Fort heureusement pour nous, et aussi un peu pour le géant des réseaux sociaux, notre expert n’a pas cherché à profiter de cette faille et il a ainsi fait le choix de contacter la firme pour la mettre au courant et pour qu’elle puisse déployer un correctif.

Il a d’ailleurs attendu que ce soit fait avant d’en parler sur son blog personnel.

Mais quelle était la nature de cette faille, en fait ? Lorsque vous oubliez votre mot de passe, vous pouvez suivre une procédure pour le réinitialiser. Tout ce que vous avez à faire, c’est de cliquer sur le lien « mot de passe oublié » et de saisir ensuite le code numérique envoyé par SMS ou par email, un code qui se compose de six chiffres.

Facebook a bien évidemment mis en place une limite en terme de saisie et il autorise ainsi un maximum de 10 ou de 12 essais pour éviter les attaques en brute force.

La version bêta du service n’était pas protégée contre les attaques en brute force

Jusque là, rien d’anormal mais ce n’est pas encore terminé. Tout le monde ne le sait pas forcément mais la firme américaine a mis en place une version bêta de son service sur un de ses serveurs pour que les utilisateurs puissent tester certaines fonctions en avant-première.

Le truc, c’est que cette fameuse version n’intégrait pas la protection évoquée un peu plus haut.

Anand s’est donc amusé à développer un petit script capable de réaliser une attaque en brute force et il l’a ensuite chargé pour le tester sur son propre compte. Là, il s’est rendu compte qu’il n’avait besoin que de quelques secondes pour trouver la bonne combinaison et pour réinitialiser son mot de passe dans la foulée.

Tel un fier chevalier blanc, l’expert a immédiatement fait remonter le problème à Facebook. Les ingénieurs en charge du portail ont immédiatement mis en place la protection pour éviter d’éventuels abus et la firme a ensuite verser pas moins de 15 000 $ à notre ami pour le remercier.

Share this post

Frédéric Pereira

Floodeur compulsif, est très actif sur Twitter ou encore sur Facebook. Sachez en outre que la Fredzone a une page sur Google+.