Un chercheur en sécurité indien découvre une faille de sécurité sur Facebook permettant de pirater n'importe quel compte

une faille Facebook découverte permet de pirater n’importe quel compte

Bonsoir les lecteurs,
Un chercheur en sécurité indien a découvert une faille Facebook qui lui permettait si l’envie lui en prenait de pirater n’importe quel compte sur le réseau social.

La faille Facebook mettait en danger absolument tous les comptes

Anand Prakash un expert en sécurité indien a découvert une faille Facebook qui aurait pu être désastreuse si elle avait été trouvé par une personne malveillante. Cette brèche dans la sécurité permettait sans trop de problème de hacker n’importe quel compte Facebook en utilisant uniquement l’outil de réinitialisation des mots de passe.

Dès qu’il a découvert cette faille Facebook, Anand Prakash s’est empressé d’en aviser les équipes du réseau social (ouf il y a encore des gens de confiance en ce monde :D).

beta.facebook.com et mbasic.beta.facebook.com incriminées

Pour réussir ce petit prodige, l’expert en sécurité a utilisé l’outil de réinitialisation des mots de passe comme je vous l’ai annoncé plus haut, mais en passant par des pages très spécifiques utilisées pour les tests bêta Facebook (je suppose vu les noms de domaines).

Voilà comment il a réussi son coup (de maitre :P), l’outil de réinitialisation des mots de passe fonctionne normalement ainsi, lorsque vous reset votre mot de passe, vous recevez un code sur votre téléphone ou votre adresse email. C’est ce code que Anand a tenté de cracker, mais sur la page « grand public » de l’outil, il n’est possible d’effectuer cette opération qu’une dizaine de fois dans un temps donnée.

Lorsque vous dépassez cette limite d’une dizaine, le processus se bloque mais là où l’outil grand public permet ce blocage, les bêtas elles ne bloquent jamais. Le chercheur en sécurité a donc pu cracker le code en faisant autant de tests qu’il souhaitait et a donc pu changé le mot de passe du compte « victime » (qui est rassurez-vous, le propre compte de Mr Prakash).

L’honnêteté de Anand Prakash récompensée

Suite au rapport de cette faille Facebook auprès des équipes du réseau social le 22 février 2016, la faille fût bouchée dès le lendemain vu sa gravité. Anand Prakash lui a été récompensé par un joli chèque de 15000$ soit 13600€, et si vous pensez que la récompense est forte, dites-vous que en piratant certains comptes des grands de ce monde il aurait pu toucher bien plus et compromettre beaucoup de gens ce n’est donc pas cher payé pour Facebook.

Je ne sais pas pour vous les lecteurs mais moi cette nouvelle me laisse un peu sceptique sur la qualité de la sécurité chez Facebook, heureusement vraiment que des gens honnêtes existent encore et toujours et que ce soit l’un d’eux qui ait découvert cette faille Facebook.

Sur ce je vous dis à demain les lecteurs (peut être plus tôt que ces deux derniers jours du moins je l’espère).

Tremerius

Laisser un commentaire