Faille Facebook : un piratage de tous les comptes évité ?

faille facebook

Il y a quelques heures, nous avons appris qu’une importante faille de sécurité avait été détectée sur le réseau social Facebook. En effet, c’est un chercheur en sécurité indien, Anand Prakash, qui est à l’origine de la découverte de cette faille Facebook. La société américaine lui aurait offert une prime de 15 000 dollars.

La faille Facebook découverte par un « white hat »

Il y a des failles de sécurité plus problématiques que d’autres. Aussi, lorsqu’elle concerne le réseau social le plus important de la planète, Facebook, l’affaire est à véritablement prendre au sérieux.

Susceptible de toucher l’ensemble des comptes des utilisateurs, cette faille Facebook n’a heureusement pas été exploitée par des pirates avant d’être détectée et signalée aux équipes du réseau social par le chercheur indien Anand Prakash.

Eh oui, Facebook a eu beaucoup de chance puisque la faille a été décelée par un « white hat » qui a privilégié la sécurité en ligne au piratage. Via le programme de bug bounty, il a donc informé les concernés du problème.

Quelques heures plus tard, les équipes de Facebook colmataient la vulnérabilité et Anand Prakash était récompensé de 15 000 dollars. Un minimum…

Le système de réinitialisation du mot de passe mis en cause

La faille Facebook identifiée par le chercheur indien aurait pu être à l’origine d’un terrible chaos si elle avait été exploitée puisque tous les comptes du réseau social auraient pu être affectés.

En effet, la vulnérabilité se situait au niveau du système de réinitialisation du mot de passe qui repose sur l’envoi d’un code à 6 chiffres par SMS pour valider le changement.

En temps normal, Facebook bloque la saisie de codes erronés dès lors que 10 tentatives se sont soldées par un échec. Mais en utilisant les sous-domaines beta.facebook.com et mbasic.beta.facebook.com, la restriction pouvait être contournée.

Un brute force permettait alors de cracker le code envoyé par SMS et donc d’avoir accès au compte d’un tiers.

Facebook a donc eu chaud et peut remercier Anand Prakash.

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*