Il est tombé sur un hacker en… hackant Facebook

Facebook est à l’heure actuelle une des plus grosses boîtes du web et elle stocke en plus les données de plusieurs centaines de millions de personnes. Cela fait d’elle une cible de choix pour les hackers et elle a donc mis en place un programme entièrement pensé pour les hackers « white hat », un programme qui leur permet de gagner de l’argent lorsqu’ils trouvent des failles de sécurité importantes.

Orange Tsai, un hacker basé à Taïwan, avait visiblement envie d’arrondir ses fins de mois car il s’est mis en tête de pénétrer sur les serveurs de l’entreprise dans le cadre de ce fameux programme.

Hacker Facebook

Un hacker est parvenu à s’incruster sur un serveur de Facebook mais il n’était pas le premier à le faire.

En s’appuyant sur divers outils, il est parvenu à détecter une vulnérabilité critique dans l’infrastructure de la société et il l’a exploitée pour pénétrer sur ses serveurs.

Le hacker n’était pas le premier à pénétrer les défenses de Facebook

Là, il a eu la surprise de tomber sur… une porte dérobée laissée par un autre hacker.

Si ce terme ne vous est pas familier, alors sachez que les portes dérobées font allusion à des fonctions inconnues de l’utilisateur légitime, des fonctions donnant un accès direct – et secret – au logiciel et aux données associées.

Lorsqu’un hacker parvient à pénétrer sur un serveur, il lui arrive parfois d’installer une porte dérobée afin de pouvoir se reconnecter facilement à la machine par la suite. C’est beaucoup plus pratique comme ça.

Mais voilà, en poussant plus loin ses investigations, Orange s’est rendu compte que le programme était présent sur la machine depuis plusieurs mois.

Ni une, ni deux, notre ami a tout de suite prévenu Facebook pour que la firme puisse prendre des mesures adaptées. Le géant des réseaux sociaux s’est montré plutôt rassurant et il a ainsi déclaré que cette fameuse porte dérobée avait été laissée par un autre expert en sécurité ayant participé au programme. Ensuite, eh bien il a signé un chèque de 10 000 $ à notre hacker pour le remercier de son aide.

Il faut avouer que la réaction de Facebook me laisse assez perplexe. J’imagine mal l’entreprise garder une porte dérobée sur un de ses serveurs pendant plusieurs mois, et ce même si le programme a été installé par un hacker censé être de confiance.

White hat ou pas, cela représente tout de même une sacrée faille de sécurité. C’est à se demander si le porte-parole de l’entreprise n’a pas cherché à noyer le poisson, tiens.