Sécurité : Facebook colmate une faille qui permettait de pirater n'importe quel compte

Sécurité : Facebook colmate une faille qui permettait de pirater n’importe quel compte

Une faille de sécurité critique vient d’être découverte par un chercheur Indien au sein de Facebook. Une vulnérabilité qui permettait de pirater n’importe quel compte.

Publié le 9 mars 2016 - 8:47 par François Giraud

Un chercheur en sécurité signale une faille de sécurité critique au sein de Facebook

Pour avoir signalé cette faille de sécurité critique, présente au sein de Facebook, le réseau social de Mark Zuckerberg, le chercheur en sécurité Indien Anand Prakash a perçu une récompense de 15 000 dollars. Cette vulnérabilité permettait de pirater et de prendre le contrôle sur n’importe quel compter du réseau social Facebook.

Facebook a colmaté cette faille de sécurité critique qui permettait à une personne malveillante de pirater l’ensemble des comptes existants. Cette vulnérabilité se situait au sein de la procédure de récupération d’un compte Facebook. De nombreux hackers tentent de prendre le contrôle de certains comptes du réseau social de Mark Zuckerberg et Facebook compte une équipe spécialement dédiée à la protection de Facebook contre les tentatives de piratage.

anad prakash-faille-facebook-600

Publicité

Le chercheur en sécurité Anand Prakash a découvert une faille de sécurité critique permettant d’accéder à l’ensemble des comptes des utilisateurs du réseau social. Cette faille de sécurité se situait sur un serveur « bêta » qui gère les demandes de récupération de mots de passe pour pouvoir réactiver un compte Facebook. Le réseau social envoie un SMS ou un email avec un code à 6 chiffres pour activer la procédure de récupération d’un compte utilisateur. Une fois ce code obtenu, il est nécessaire de le rentrer sur les pages bêta dédiées « beta.facebook.com et mbasic.beta.facebook.com » pour pouvoir réactiver son compte Facebook. C’est au sein de cette page annexe que le chercheur indien a découvert une faille de sécurité critique.

Il teste la vulnérabilité de son propre compte et arrive à le pirater

Souhaitant tester la vulnérabilité et les failles de sécurité du réseau social de Mark Zuckerberg, le hacker Anand Pralash aurait pu pirater n’importe quel compte mais a préféré signaler la faille de sécurité critique découverte auprès des personnes responsables de la sécurité de Facebook. Il a été récompensé pour sa trouvaille et a perçu la somme de 15 000 dollars. Il a tenté de cracker le code reçu par Facebook pour récupérer un compte mais au bout d’une dizaine de tentatives, la procédure se bloque automatiquement. Il est ensuite passé par les pages bêta du réseau social permettant d’activer la procédure de récupération, des pages où les limites d’essais de codes ne sont pas présentes. Il a donc lancé son attaque et a réussi à récupérer un code. Il a ensuite changé le mot de passe et a pu accéder à son propre compte qu’il a piraté.

Précisions toutefois que le hacker Anand Prakash tient davantage du chercheur en sécurité IT que du pirate malveillant. Il a piraté son propre compte Facebook pour pouvoir trouver cette faille. Après être arrivé à cracker le code de récupération de compte, il a contacté le groupe Facebook, le 22 février dernier pour annoncer sa découverte. La faille a été corrigée par Facebook le lendemain et Anand Prakash a été récompensé d’un joli chèque de 15 000 dollars.


Ailleurs sur le web


Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *