Un chercheur en sécurité signale une faille de sécurité critique au sein de Facebook

Pour avoir signalé cette faille de sécurité critique, présente au sein de Facebook, le réseau social de Mark Zuckerberg, le chercheur en sécurité Indien Anand Prakash a perçu une récompense de 15 000 dollars. Cette vulnérabilité permettait de pirater et de prendre le contrôle sur n’importe quel compter du réseau social Facebook.

Facebook a colmaté cette faille de sécurité critique qui permettait à une personne malveillante de pirater l’ensemble des comptes existants. Cette vulnérabilité se situait au sein de la procédure de récupération d’un compte Facebook. De nombreux hackers tentent de prendre le contrôle de certains comptes du réseau social de Mark Zuckerberg et Facebook compte une équipe spécialement dédiée à la protection de Facebook contre les tentatives de piratage.

anad prakash-faille-facebook-600

Le chercheur en sécurité Anand Prakash a découvert une faille de sécurité critique permettant d’accéder à l’ensemble des comptes des utilisateurs du réseau social. Cette faille de sécurité se situait sur un serveur « bêta » qui gère les demandes de récupération de mots de passe pour pouvoir réactiver un compte Facebook. Le réseau social envoie un SMS ou un email avec un code à 6 chiffres pour activer la procédure de récupération d’un compte utilisateur. Une fois ce code obtenu, il est nécessaire de le rentrer sur les pages bêta dédiées « beta.facebook.com et mbasic.beta.facebook.com » pour pouvoir réactiver son compte Facebook. C’est au sein de cette page annexe que le chercheur indien a découvert une faille de sécurité critique.

Il teste la vulnérabilité de son propre compte et arrive à le pirater

Souhaitant tester la vulnérabilité et les failles de sécurité du réseau social de Mark Zuckerberg, le hacker Anand Pralash aurait pu pirater n’importe quel compte mais a préféré signaler la faille de sécurité critique découverte auprès des personnes responsables de la sécurité de Facebook. Il a été récompensé pour sa trouvaille et a perçu la somme de 15 000 dollars. Il a tenté de cracker le code reçu par Facebook pour récupérer un compte mais au bout d’une dizaine de tentatives, la procédure se bloque automatiquement. Il est ensuite passé par les pages bêta du réseau social permettant d’activer la procédure de récupération, des pages où les limites d’essais de codes ne sont pas présentes. Il a donc lancé son attaque et a réussi à récupérer un code. Il a ensuite changé le mot de passe et a pu accéder à son propre compte qu’il a piraté.

Précisions toutefois que le hacker Anand Prakash tient davantage du chercheur en sécurité IT que du pirate malveillant. Il a piraté son propre compte Facebook pour pouvoir trouver cette faille. Après être arrivé à cracker le code de récupération de compte, il a contacté le groupe Facebook, le 22 février dernier pour annoncer sa découverte. La faille a été corrigée par Facebook le lendemain et Anand Prakash a été récompensé d’un joli chèque de 15 000 dollars.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here