Après la faille qui a touché 6 millions de comptes Facebook récemment, une autre histoire fait surface concernant le fameux réseau social : il y a quelques semaines, un chercheur en sécurité a découvert une faille permettant de s’approprier simplement n’importe quel compte. Mais au lieu de l’utiliser à des fins personnelles, il a averti l’équipe Facebook en charge de la sécurité.
Tout cela s’est dérouler dans le plus grand silence et est encore méconnu du grand public. Pourtant, la vulnérabilité aurait pu avoir des conséquences désastreuses pour les utilisateurs si elle était tombée entre de mauvaises mains…
L’histoire commence en mai 2013, lorsque Jack Whitton, un jeune chercheur britannique de 22 ans découvre une faille qui permet de détourner les SMS envoyés par Facebook aux utilisateurs pour confirmer leur compte ou créer un nouveau mot de passe.
La technique est relativement simple, ce qui est paradoxal puisque le système des messages SMS de vérification a été introduit par Facebook pour ajouter une couche de sécurité.
Une faille potentiellement désastreuse
Selon différents experts en sécurité, la faille aurait pu avoir un effet désastreux pour Facebook, si Whitton s’en était servi à des fins personnelles, en revendant ses services à des cybercriminels par exemple.
Heureusement, Whitton a rapporté la faille à l’équipe de sécurité de Facebook, qui a fait le nécessaire pour rapidement la corriger.
Facebook a récompensé le jeune chercheur d’un chèque de 15 000 euros (20 000 dollars), en plus de voir son nom figurer sur le fameux « hall of fame » des « white hats » – les chercheurs en sécurité qui rapportent les failles aux entreprises, par opposition aux « black hats », qui exploitent les faillent pour leur profit personnel.
Tout comme de nombreuses entreprises sur le Web, Facebook dispose d’un programme qui vise à encourager les hackers à rapporter les bugs et autres failles présentes sur son site, et récompense les chercheurs d’un montant minimum de 380 euros (500 dollars) – un montant qui peut augmenter suivant l’importance de la faille rapportée, comme le démontre cette anecdote qui heureusement pour les utilisateurs de Facebook, se termine bien.
Sources : BBC, Bitdefender
Quand on voit la liste sur le hall of fame, on se dit qu’il faut quand meme sacrément faire attention avant de coller ses petites affaires chez FB. Sans parler du probable hall of ‘pas’ fame qui doit bien être 10 fois plus long
En plus, on comprend ceux qui revendent les failles sur le black market car donner 15 000 € pour une vulnérabilité pareille c’est ridicule.
Les commentaires sont fermés.