Pour gérer vos consentements :

Via beta Facebook, un hacker accède à n’importe quel compte

Ayant découvert une faille permettant de prendre le contrôle de n’importe quel compte Facebook, il a choisi… d’en informer le réseau social, qui l’a récompensé à hauteur de 15 000 dollars : Anand Prakash s’est rangé du côté des hackers « éthiques ». Cet étudiant indien avait transmis son rapport le 22 février, accompagné d’une preuve d’exploitation en vidéo (voir ci-dessous). Il a obtenu une réponse le 2 mars, avec la prime associée.

La vulnérabilité en question se trouve au niveau du système de récupération des mots de passe. Ceux qui l’ont oublié peuvent le réinitialiser en entrant un code à 6 chiffres envoyé à leur adresse e-mail ou par SMS. Or sur la version « classique » de Facebook, la procédure se bloque au bout d’une dizaine de saisies erronées, pour éviter les tentatives de découverte du code par force brute.

Pas de limites sur le site beta du réseau social

Problème : cette limite n’était pas implémentée sur la version bêta du réseau social (beta.facebook.com) au moment où Anand Prakash l’a testée. Il a donc pu forcer le passage par l’intermédiaire de Burp Suite, une plate-forme de test pour la sécurité des applications Web.

Une fois le mot de passe modifié, le hacker – qui a fait l’expérimentation sur son compte « dans le respect du règlement de Facebook – s’est assuré de désactiver les sessions ouvertes sur d’autres appareils.

Les 15 000 dollars de récompense font débat. Certains internautes estiment que la somme aurait dû être plus élevée au regard de la nature de la faille. D’autant plus que Facebook s’est déjà montré plus généreux, en remettant par exemple, l’été dernier, 100 000 dollars à une équipe de chercheurs qui avait mis en évidence une classe émergente de vulnérabilités C++, rappelle ITespresso.

En 2013, un autre hacker indien, nommé Arul Kumar, avait été médiatisé pour avoir mis au jour une brèche qui permettait d’effacer des photos sur n’importe quel compte. Il avait mené un test… sur le profil de Mark Zuckerberg.

A lire aussi :

Facebook prêt à payer plus d’impôts en Grande Bretagne

Données personnelles : Facebook tancé vertement par la CNIL

Recent Posts

Chargeur universel : l’USB-C, spectre mondial pour Apple

L'aboutissement des démarches de l'UE sur la question du « chargeur universel » a suscité…

58 minutes ago

Pistage : les navigateurs ne s’attaquent pas qu’aux cookies

Dans la lignée de Brave, Firefox met en place un mécanisme de filtrage de certains…

16 heures ago

Open Source : la Fondation Linux veut normaliser l’accès aux DPU

L’effort porte sur la standardisation de la pile logicielle prenant en charge les processeurs de…

18 heures ago

vSphere+ : qu’y a-t-il dans la vitrine multicloud de VMware ?

VMware a structuré une offre commerciale favorisant l'accès à des capacités cloud à travers vCenter.…

18 heures ago

Le PEPR cybersécurité prend forme : les choses à savoir

Le PEPR rattaché à la stratégie nationale de cybersécurité a connu une forme d'officialisation la…

23 heures ago

ESN : Numeum s’étoffe et précise ses priorités

Numeum, qui réprésente les ESN et éditeurs de logiciels en France, a précisé sa feuille…

2 jours ago