1
Facebook corrige une faille qui permettait de pirater n'importe quel compte Un chercheur en sécurité a reçu 15.000 dollars de Facebook pour avoir signalé au service en ligne un bug permettant facilement à un pirate de prendre le contrôle de n'importe quel compte utilisateur. Par La rédaction de ZDNet.fr | Mercredi 09 Mars 2016 Facebook dispose, comme d'autres géants du Web, de son programme de bug bounty : récompenses financières contre failles dévoilées de manière responsable. C'est dans ce cadre que le chercheur Anand Prakash a reçu 15.000 dollars de la part du réseau social. Ce dernier a communiqué à Facebook une faille de mot de passe qui offrait la possibilité à des attaquants d'accéder avec peu d'efforts aux comptes des utilisateurs de la plateforme en ligne. Cette vulnérabilité était donc majeure, et simple d'exploitation dans le même temps puisqu'elle n'impliquait pas d'interaction avec l'utilisateur. Forcer la réinitialisation de mot de passe sans contraintes Lors de sa découverte, Anand Prakash a été en mesure d'accéder à l'ensemble des informations sauvegardées sur un compte, dont les messages, photos, vidéos et données financières enregistrées dans la rubrique paiement du profil utilisateur. Pour cela, le chercheur a identifié une vulnérabilité au niveau de la procédure de récupération de mot de passe. En cause l'absence de protocoles de sécurité dans certaines versions de Facebook permettant à un attaquant de procéder à une réinitialisation de mot de passe sans que le titulaire légitime du compte n'en soit alerté. Ainsi, en cas d'oubli du mot de passe, un internaute peut se tourner vers la fonction classique "Mot de passe oublié" et récupérer son accès en saisissant un numéro de téléphone ou une adresse électronique. Un code à six chiffres est envoyé par le réseau social pour valider le processus. Ce code doit être saisi par l'utilisateur afin de créer un nouveau mot de passe. Sur le site principal de Facebook, après 10 à 12 tentatives, le code est bloqué. Mais sur les domaines beta.facebook.com et mbasic.beta.facebook.com, ce blocage n'intervenait pas. Un pirate pouvait donc tester autant de codes à six chiffres qu'il le souhaitait jusqu'à deviner le bon et ainsi créer un nouveau mot de passe et accéder à un compte. Dans une vidéo, Anand Prakash démontre son scénario d'usurpation de compte. La vulnérabilité a été signalée à Facebook le 22 février. Elle a depuis été corrigée par le réseau social, qui via son programme de bug bounty a donc récompensé ce chercheur à hauteur de 15.000 dollars.

Facebook corrige une faille qui permettait de pirater n'importe quel compte · Facebook corrige une faille qui permettait de pirater n'importe quel compte Un chercheur en sécurité

  • Upload
    hadat

  • View
    213

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Facebook corrige une faille qui permettait de pirater n'importe quel compte · Facebook corrige une faille qui permettait de pirater n'importe quel compte Un chercheur en sécurité

Facebook corrige une faille qui permettait de pirater n'importe quel compte

Un chercheur en sécurité a reçu 15.000 dollars de Facebook pour avoir signalé au service en ligne un bug permettant facilement à un pirate de prendre le contrôle de n'importe quel compte utilisateur.

Par La rédaction de ZDNet.fr | Mercredi 09 Mars 2016

Facebook dispose, comme d'autres géants du Web, de son programme de bug bounty : récompenses financières contre failles dévoilées de manière responsable. C'est dans ce cadre que le chercheur Anand Prakash a reçu 15.000 dollars de la part du réseau social.

Ce dernier a communiqué à Facebook une faille de mot de passe qui offrait la possibilité à des attaquants d'accéder avec peu d'efforts aux comptes des utilisateurs de la plateforme en ligne. Cette vulnérabilité était donc majeure, et simple d'exploitation dans le même temps puisqu'elle n'impliquait pas d'interaction avec l'utilisateur.

Forcer la réinitialisation de mot de passe sans contraintes

Lors de sa découverte, Anand Prakash a été en mesure d'accéder à l'ensemble des informations sauvegardées sur un compte, dont les messages, photos, vidéos et données financières enregistrées dans la rubrique paiement du profil utilisateur.

Pour cela, le chercheur a identifié une vulnérabilité au niveau de la procédure de récupération de

mot de passe. En cause l'absence de protocoles de sécurité dans certaines versions de Facebook permettant à un attaquant de procéder à une réinitialisation de mot de passe sans que le titulaire légitime du compte n'en soit alerté.

Ainsi, en cas d'oubli du mot de passe, un internaute peut se tourner vers la fonction classique "Mot de passe oublié" et récupérer son accès en saisissant un numéro de téléphone ou une adresse électronique.

Un code à six chiffres est envoyé par le réseau social pour valider le processus. Ce code doit être saisi par l'utilisateur afin de créer un nouveau mot de passe. Sur le site principal de Facebook, après 10 à 12 tentatives, le code est bloqué. Mais sur les domaines beta.facebook.com et mbasic.beta.facebook.com, ce blocage n'intervenait pas.

Un pirate pouvait donc tester autant de codes à six chiffres qu'il le souhaitait jusqu'à deviner le bon

et ainsi créer un nouveau mot de passe et accéder à un compte. Dans une vidéo, Anand Prakash démontre son scénario d'usurpation de compte.

La vulnérabilité a été signalée à Facebook le 22 février. Elle a depuis été corrigée par le réseau social, qui via son programme de bug bounty a donc récompensé ce chercheur à hauteur de 15.000 dollars.