Une énorme faille de sécurité vient d'être découverte par un expert en sécurité informatique indien. Anand Prakash aurait pu profiter de cette vulnérabilité de Facebook pour pirater n'importe quel compte. Heureusement pour le réseau social, le résident de la Sillicon Valley indien est un "white hat ", pirate informatique qui oeuvre pour la sécurité du réseau.
Piratage de compte Facebook - Une vulnérabilité dans la procédure de réinitialisation des mots de passe
Une procédure qui semblait être anodine aurait pu être fatale pour Facebook. Un expert en cybersécurité a alerté le plus grand réseau social du monde pour lui faire part de sa découverte. En effet, Anand Prakash avait repéré une vulnérabilité au niveau de la procédure de réinitialisation des mots de passe. Quand le titulaire du compte clique sur ""Mot de passe oublié ? ", il reçoit par SMS ou par mail un code à six chiffres. Il sera redirigé vers une page spéciale pour pouvoir renseigner ce code et ainsi réinitialiser son mot de passe. Ce code pourra être renseigné plusieurs fois, au cas où l'utilisateur se tromperait. Mais Facebook a limité à 12 fois le nombre d'essais, justement pour éviter les attaques par force brute, c'est-à-dire en essayant toutes les combinaisons possibles.
C'est justement ce qu'a fait Anand Prakash. Il a effectué une attaque par force brute, non pas sur le serveur principal de Facebook, mais sur un serveur beta sur lequel le réseau social déploie des fonctionnalités non encore finalisées, mais accessibles aux utilisateurs. Sur ce serveur, il n'y a aucune limite quant au nombre d'essais que l'on peut effectuer. Le "white hat " a réussi à forcer la réinitialisation de son mot de passe et pénétrer dans son compte via cette procédure. Il l'a fait sur son propre compte, par souci d'éthique.
Piratage de compte Facebook - Découverte récompensée
Pour avoir découvert, et surtout alerté l'équipe technique de Facebook sur l'existence de cette faille, Anand Prakash s'est vu octroyer la somme de 15 000 dollars. Une récompense méritée tant cette vulnérabilité aurait pu couter très cher à Facebook si elle avait été découverte par des personnes mal intentionnées. Le pirate aurait pu pénétrer dans le compte de n'importe quel utilisateur et y poster des messages ou récupérer des données personnelles comme les photos, les adresses, les contacts, etc. Mais Anand Prakash est de ceux qui oeuvrent pour l'amélioration de la sécurité informatique. Il est basé à Bangalore, la Sillicon Valley indienne, où il exerce le métier d'expert en cybersécurité.
Le fait de récompenser les pirates informatiques qui lui font part des failles de sécurité est une pratique habituelle pour Facebook. La firme a même lancé en 2011 un programme dénommé Bug Bounty qui rétribue toutes personnes qui signalent les vulnérabilités de ce réseau social. Cela lui a permis de corriger pas moins de 2 400 failles de sécurité jusqu'à présent contre des récompenses de 4,3 millions de dollars, distribuées à plus de 800 "white hats " dans le monde entier. Une somme appropriée par rapport à l'énormité des risques encourus.
Sources :
Une faille de Facebook permettait de pénétrer dans n'importe quel compte
Facebook : ce hacker aurait pu pirater n’importe quel compte