Via beta Facebook, un hacker accède à n’importe quel compte

Facebook a récompensé un hacker indien pour avoir découvert un moyen d’accéder n’importe quel compte depuis le site beta du réseau social.

Ayant découvert une faille permettant de prendre le contrôle de n’importe quel compte Facebook, il a choisi… d’en informer le réseau social, qui l’a récompensé à hauteur de 15 000 dollars : Anand Prakash s’est rangé du côté des hackers « éthiques ». Cet étudiant indien avait transmis son rapport le 22 février, accompagné d’une preuve d’exploitation en vidéo (voir ci-dessous). Il a obtenu une réponse le 2 mars, avec la prime associée.

La vulnérabilité en question se trouve au niveau du système de récupération des mots de passe. Ceux qui l’ont oublié peuvent le réinitialiser en entrant un code à 6 chiffres envoyé à leur adresse e-mail ou par SMS. Or sur la version « classique » de Facebook, la procédure se bloque au bout d’une dizaine de saisies erronées, pour éviter les tentatives de découverte du code par force brute.

Pas de limites sur le site beta du réseau social

Problème : cette limite n’était pas implémentée sur la version bêta du réseau social (beta.facebook.com) au moment où Anand Prakash l’a testée. Il a donc pu forcer le passage par l’intermédiaire de Burp Suite, une plate-forme de test pour la sécurité des applications Web.

Une fois le mot de passe modifié, le hacker – qui a fait l’expérimentation sur son compte « dans le respect du règlement de Facebook – s’est assuré de désactiver les sessions ouvertes sur d’autres appareils.

Les 15 000 dollars de récompense font débat. Certains internautes estiment que la somme aurait dû être plus élevée au regard de la nature de la faille. D’autant plus que Facebook s’est déjà montré plus généreux, en remettant par exemple, l’été dernier, 100 000 dollars à une équipe de chercheurs qui avait mis en évidence une classe émergente de vulnérabilités C++, rappelle ITespresso.

En 2013, un autre hacker indien, nommé Arul Kumar, avait été médiatisé pour avoir mis au jour une brèche qui permettait d’effacer des photos sur n’importe quel compte. Il avait mené un test… sur le profil de Mark Zuckerberg.

A lire aussi :

Facebook prêt à payer plus d’impôts en Grande Bretagne

Données personnelles : Facebook tancé vertement par la CNIL