Passer au contenu

Facebook : ce hacker aurait pu pirater n’importe quel compte

Une vulnérabilité dans la procédure de récupération de compte permettait d’accéder aux comptes des utilisateurs par une simple attaque par force brute sur un numéro à six chiffres.

Le hacker indien Anand Prakash a trouvé récemment une faille de sécurité bête mais terriblement méchante dans la procédure de récupération des comptes Facebook. Quand vous oubliez votre mot de passe, vous pouvez cliquer sur « Mot de passe oublié ? » et vous recevrez alors un code à six chiffres par SMS ou par email qu’il faudra rentrer sur une page spéciale pour pouvoir réinitialiser le mot de passe par la suite.

Ce code à six chiffres peut être renseigné plusieurs fois, au cas où l’on se tromperait. Mais pas plus que 10 ou 12 fois, pour éviter que des petits malins tentent de deviner ce code par force brute, c’est-à-dire en essayant toutes les possibilités. Et pourtant, c’est exactement ce qu’Anand Prakash a fait. Pas sur un serveur classique de Facebook, mais sur un serveur « beta » sur lequel Facebook déploie des fonctionnalités accessibles aux utilisateurs mais par encore finalisées. Or, sur ce serveur cette limite n’existait. Le hacker a donc pu faire une attaque par force brute et redéfinir le mot de passe (sur son propre compte bien sûr, pour rester dans un cadre éthique). Et il a prouvé l’attaque dans une vidéo.

Evidemment, notre hacker a immédiatement alerté Facebook qui, depuis, a colmaté la faille. En guise de récompense, Anand Prakash a reçu 15.000 dollars de la part du réseau social. C’est une somme appropriée compte tenu du risque élevé que représentait cette faille. Un pirate aurait pu ainsi exclure n’importe quel utilisateur de son propre compte, siphonner les données personnelles, poster des messages, etc.

Source :

Note de blog

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN