Une faille permettait de pirater votre compte #Facebook sans difficulté

Un chercheur indien a mis au jour une faille de sécurité majeure dans certaines versions de Facebook. En l’exploitant, il a pu aisément pirater le compte d’un utilisateur sans que celui-ci en soit averti. La brèche a depuis été colmatée et son découvreur récompensé à hauteur de 15 000 dollars.

Dans le cadre du programme de bug bounties mis en place par Facebook, un chercheur indien, Anand Prakash, a empoché 15000 dollars. Il a en effet révélé au réseau social l’existence d’une faille majeure permettant à une personne mal intentionnée de pénétrer les comptes des utilisateurs. Lors de ses tests, Anand Prakrash a été en mesure de pirater un compte et d’accéder à l’intégralité des données qui y étaient enregistrées, y compris des données de paiement.

La faille résidait au niveau de la procédure de récupération des mots de passe sur certaines versions bêta du site (beta.facebook.com et mbasic.beta.facebook.com). En cas de perte de son mot de passe, un utilisateur peut récupérer l’accès à son compte en obtenant, par mail ou SMS, un code à 6 chiffres. Afin d’éviter les attaques de type force brute, la version « classique » du réseau social bloque le code au bout de 10 tentatives.

Force brute

Mais, sur les versions bêta, cette limite de nombre de tentatives n’existe pas, laissant tout loisir à Anand Prakash de procéder par force brute, multipliant les tentatives jusqu’à trouver le bon code et réinitialiser ainsi le mot de passe. Il gagne ainsi l’accès au compte. Le chercheur a démontré que cette faille était facilement exploitable et ne nécessitait aucune interaction avec l’utilisateur légitime, celui-ci n’étant alors pas conscient que son compte était en cours de piratage.

Anand Pradash en a informé Facebook le 22 février et les détails n’ont été publiés qu’une fois la brèche colmatée. Le chercheur détaille plus amplement cette vulnérabilité sur son blog et dans une vidéo.

(Sources : http://www.linformaticien.com/)


Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s