Facebook : une faille énorme permet de pirater n’importe quel compte

Tech > Web > Facebook
Par David Pain publié le 9 mars 2016 à 7h30.

Un chercheur en sécurité indien a découvert une faille dans Facebook qui lui permettait de pirater tous les comptes. Il a touché une belle récompense.

Anand Prakash, un expert en sécurité indien, a découvert une énorme faille dans le site du réseau social Facebook. Cette vulnérabilité permettait, sans trop de difficulté, de pirater n’importe quel compte en passant par l’outil de réinitialisation de son mot de passe. Le « gentil » hacker n’avait heureusement aucune intention d’exploiter cette faille et à prévenu les équipes du plus grand réseau social.

Il aurait pu pirater n’importe quel compte Facebook

Anand Prakash a révélé récemment au réseau social Facebook une faille qui aurait pu faire très mal car elle aurait pu permettre à un hacker mal intentionné d’accéder à n’importe quel compte Facebook. Comme il l’explique dans un billet de blog, cette vulnérabilité lui permettait de rentrer dans le compte Facebook en réinitialisant le mot de passe. Il avait alors accès à tout le contenu, comme si il en était le propriétaire.

Lorsque l’on veut réinitialiser le mot de passe de son compte Facebook, on reçoit sur son téléphone ou son adresse email un code de 6 chiffres. M. Prakash a alors essayé de cracker ce code en utilisant la force brute mais au bout d’une dizaine d’essai, la procédure se bloque. Il est alors passé par les pages beta.facebook.com et mbasic.beta.facebook.com. Curieusement, sur ces 2 pages la limite d’essais n’est pas présente, il a pu lancer son attaque et finir par récupérer le code. Il a alors tout simplement changé le mot de passe et pu accéder au compte.

Facebook le récompense pour sa trouvaille

Anand Prakash n’étant pas un hacker malhonnête, il a testé cette procédure sur son propre compte Facebook. Le 22 février 2016 il contactait le réseau social pour faire part de la découverte de cette vulnérabilité. Vu sa gravité, le lendemain, la faille était corrigée. L’expert en sécurité a été récompensé avec un chèque de 15 000 dollars, soit 13 600 euros.

En savoir plus