Facebook : un énorme oubli permettait de hacker tous les comptes

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Facebook : un énorme oubli permettait de hacker tous les comptes

Publié le 09 mars 2016 à 11:30 par Jérôme G.

Lire sur mobile

Pour avoir découvert un bug de sécurité dont l'exploitation donnait potentiellement le plein accès à n'importe quel compte Facebook, un hacker indien a reçu la somme de 15 000 dollars.

Facebook pourrait presque paraître radin avec sa récompense de 15 000 dollars offerte à Anand Prakash, compte tenu de l'énorme potentiel de dangerosité de sa trouvaille. Sauf que la faille en question ne brillait pas particulièrement par sa complexité. Cet ingénieur en sécurité informatique et chasseur de bugs de sécurité figurait déjà dans le temple de la renommée de Facebook consacré aux hackers qui lui rapportent des vulnérabilités. Le 22 février, il a alerté le réseau social au sujet d'un gros souci.

Sans aucune interaction de la part d'un utilisateur, le hacker indien avait en sa possession le pouvoir d'accéder à tous les comptes Facebook. Autrement formulé, il pouvait pirater n'importe quel compte Facebook. Anand Prakash explique que des mesures de sécurité faisaient défaut dans certaines versions de Facebook. Des attaquants pouvaient ainsi réinitialiser les mots de passe des comptes - et en paramétrer de nouveaux - à l'insu d'un utilisateur.

Facebook avait omis de faire barrage aux attaques par force brute sur ses plates-formes beta.facebook.com et mbasic.beta.facebook.com. Lorsqu'un utilisateur oublie son mot de passe, il peut demander une réinitialisation en saisissant son adresse email, numéro de téléphone, nom d'utilisateur ou nom complet (des informations qui se retrouvent facilement à des degrés divers). Un code à six chiffres est ensuite envoyé et doit être saisi afin de s'assurer qu'il s'agit bien de l'utilisateur légitime.

Grâce à une attaque par force brute sur son propre compte afin de trouver le code à 6 chiffres sans le connaître au préalable, Anand Prakash a pu tester avec succès le paramétrage d'un nouveau mot de passe lui donnant un accès complet. Sur les pages de bêta, il n'y avait tout simplement pas de limite pour les diverses tentatives contrairement au site principal de Facebook (un blocage après une dizaine de tentatives non valides).

Avec un script, le hacker indien pouvait donc tester autant de possibilités que souhaité jusqu'à tomber sur la bonne et ainsi paramétrer un nouveau mot de passe pour n'importe quel utilisateur de Facebook. Après signalement, le problème a été corrigé le lendemain. On fera remarquer que pour son exploit, Anand Prakash n'évoque pas le cas de la présence éventuelle d'une authentification à deux facteurs qui aurait compliqué la tâche. Y-avait-il une implémentation dans les page en bêta ?

Facebook a lancé un programme de Bug Bounty en août 2011. L'année dernière, cette chasse aux bugs de sécurité a récompensé 210 hackers ayant rapporté 526 bugs. La somme totale déboursée a été de 936 000 dollars (plus de 4,3 millions de dollars depuis le début du programme). Avec l'Égypte et Trinité-et-Tobago, les hackers en Inde sont ceux qui ont reçu le plus grand nombre de paiements en 2015.