Le chercheur en sécurité Indien Anand Prakash a perçu une récompense de 15 000 dollars pour la découverte et le report d’une faille de sécurité critique vient touchant Facebook. La vulnérabilité permettait de pirater n’importe quel compte du réseau social.
Sa découverte aurait pu causer le chaos sur le plus grand réseau social au monde. Mais heureusement, le chercheur en sécurité indien Anand Prakash est un « white hat », œuvrant pour la sécurité en ligne et non pour le piratage. La faille était critique et touchait potentiellement l’ensemble des comptes Facebook. Après report de la vulnérabilité, l’équipe de Facebook a rapidement corrigé et le hacker a obtenu une récompense de 15 000 dollars via le programme de “Bug Bounty”.
Prakash explique le problème sur son blog, dans un billet éloquent intitulé “Comment j’aurais pu pirater tous les comptes Facebook“. La faille se situait au sein du système de réinitialisation du mot de passe, qui renvoie un code de vérification de 6 chiffres par SMS.
Normalement, Facebook bloque les tentatives erronées de saisi du code de validation après 10 essais infructueux. Mais voila, le chercheur à pu passer outre cette restriction en exploitant les sous domaines beta.facebook.com et mbasic.beta.facebook.com, afin de craquer le code de vérification à 6 chiffres de Facebook via un simple brute force.
Pour démontrer la faille, il a piraté son propre compte en vidéo en guise de preuve pour Facebook, qui s’est empressé de corriger la faille (signalée le 22 février et corrigée le lendemain). Tout se fini bien donc.
On peut toutefois s’interroger sur le montant de la récompense, qui, vu le niveau d’importance, aurait pu mériter une somme plus importante, mais cela est un autre débat !
?
Les commentaires sont fermés.