Un chercheur en sécurité a trouvé une méthode pour pirater n’importe quel compte Facebook

Il a été payé 15 000 $ par le réseau social

L’un des principes du test de logiciels stipule que l’absence de bogues est une utopie, c’est la raison pour laquelle les géants du web ont lancé des programmes de chasse aux bogues. Le géant de la recherche Google a annoncé avoir déboursé un total de 2,9 millions de dollars en 2017 dans le cadre de son Vulnerability Reward Program (VRP). Le plus gros chèque d’une valeur de 112 500 dollars est allé à un chercheur qui a dévoilé une chaine d’exploit qui permettait l’exécution de code à distance sur des smartphones Pixel.

Tout comme Google, Facebook a son propre programme qui ouvre la porte aux chasseurs de bogues du monde entier. L’année dernière, la société a payé 880 000 dollars aux chercheurs de sécurité, et en six ans, le réseau social a payé 6,3 millions de $.

Parmi les chercheurs qui ont participé au programme de Facebook, l’un d’eux a réussi l’exploit de pirater n’importe quel compte Facebook. En exploitant une vulnérabilité, il lui était possible d’accéder à n’importe quel compte des deux milliards d’utilisateurs inscrits sur le réseau social.

Après avoir contacté Facebook et que la vulnérabilité a été corrigée, ce chercheur a choisi de raconter comment il a réussi son exploit. La vulnérabilité qu’il a découverte, pourtant simple, lui a permis d’accéder à n’importe quel compte de Facebook sans interaction de l’utilisateur. De là, il avait la possibilité de modifier le mot de passe et assigner un nouveau. Il pouvait ensuite lire les messages, dérober les cartes bancaires liées au compte, voler les photos personnelles et les autres informations privées.

Facebook a pour sa part validé la vulnérabilité, l’a corrigée et a payé 15 000 dollars, un montant calculé en se basant sur des critères comme la sévérité et l’impact de la vulnérabilité.

Comment le hack a-t-il fonctionné ?

Quand un utilisateur oublie son mot de passe sur Facebook, il a la possibilité de le réinitialiser en entrant son numéro de téléphone mobile et son adresse email. Facebook se charge par la suite d’envoyer un code de 6 chiffres au numéro de l’utilisateur ou bien à l’adresse email que l’utilisateur doit renseigner afin de choisir un nouveau mot de passe.

Le chercheur a essayé une attaque de type brute force pour trouver le code sur www.facebook.com, mais il a été bloqué après 10 à 12 tentatives sans succès. Pour rappel, l’attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s’agit de tester, une à une, toutes les combinaisons possibles.

Par la suite, le chercheur a essayé la même méthode sur beta.facebook.com et mbasic.beta.facebook.com. Et curieusement, il s’est rendu compte qu’il n’y avait aucune limite aux tentatives de réinitialisation de mot de passe.

Pour se conformer aux règles de Facebook, le chercheur en question n’a tenté de débloquer que son propre compte et a réussi à assigner un nouveau mot de passe. Après, il pouvait utiliser le même mot de passe pour s’authentifier et se connecter à son compte piraté.

iframe width="560" height="315" src="https://www.youtube.com/embed/U3Of-jF1nWo" frameborder="0" allow="autoplay ; encrypted-media" allowfullscreen>

« Comme vous pouvez le voir dans la vidéo, j’ai réussi à avoir un nouveau mot de passe pour l’utilisateur en trouvant par force brute le code envoyé à l’adresse email et le numéro de téléphone », a écrit le chercheur.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 29 |

Actu en image