Ayant découvert une faille permettant de prendre le contrôle de n’importe quel compte Facebook, il a choisi… d’en informer le réseau social, qui l’a récompensé à hauteur de 15 000 dollars : Anand Prakash s’est rangé du côté des hackers « éthiques ». Cet étudiant indien avait transmis son rapport le 22 février, accompagné d’une preuve d’exploitation en vidéo (voir ci-dessous). Il a obtenu une réponse le 2 mars, avec la prime associée.
La vulnérabilité en question se trouve au niveau du système de récupération des mots de passe. Ceux qui l’ont oublié peuvent le réinitialiser en entrant un code à 6 chiffres envoyé à leur adresse e-mail ou par SMS. Or sur la version « classique » de Facebook, la procédure se bloque au bout d’une dizaine de saisies erronées, pour éviter les tentatives de découverte du code par force brute.
Problème : cette limite n’était pas implémentée sur la version bêta du réseau social (beta.facebook.com) au moment où Anand Prakash l’a testée. Il a donc pu forcer le passage par l’intermédiaire de Burp Suite, une plate-forme de test pour la sécurité des applications Web.
Une fois le mot de passe modifié, le hacker – qui a fait l’expérimentation sur son compte « dans le respect du règlement de Facebook – s’est assuré de désactiver les sessions ouvertes sur d’autres appareils.
Les 15 000 dollars de récompense font débat. Certains internautes estiment que la somme aurait dû être plus élevée au regard de la nature de la faille. D’autant plus que Facebook s’est déjà montré plus généreux, en remettant par exemple, l’été dernier, 100 000 dollars à une équipe de chercheurs qui avait mis en évidence une classe émergente de vulnérabilités C++, rappelle ITespresso.
En 2013, un autre hacker indien, nommé Arul Kumar, avait été médiatisé pour avoir mis au jour une brèche qui permettait d’effacer des photos sur n’importe quel compte. Il avait mené un test… sur le profil de Mark Zuckerberg.
A lire aussi :
Facebook prêt à payer plus d’impôts en Grande Bretagne
Données personnelles : Facebook tancé vertement par la CNIL
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…