Actualité web & High tech sur Usine Digitale

Cybersécurité : il empoche 15000 dollars en découvrant une faille toute bête de Facebook

| mis à jour le 10 mars 2016 à 09H13
Twitter Facebook Linkedin Google + Email
×

Un expert en sécurité informatique a remporté la somme de 15000 dollars pour avoir alerté Facebook sur une faille permettant de prendre le contrôle de n'importe quel compte. Une pratique de plus en plus en vogue parmi les éditeurs de logiciels pour renforcer la sécurité de leurs produits.

Cybersécurité : il empoche 15000 dollars en découvrant une faille toute bête de Facebook
Cybersécurité : il empoche 15000 dollars en découvrant une faille toute bête de Facebook © Facebook

[Mise à jour, le 10 mars à 9:10] : La vidéo montrant la manipulation et initialement insérée ici a été retirée de YouTube.

 

L'ingénieur en cybersécurité Anand Prakash aime jouer les chasseurs de primes. Mais attention, il ne traque pas les bandits, mais les bugs. L'un d'entre eux vient de lui valoir une récompense de 15 000 dollars de la part de Facebook. Anand Prakash s'est rendu compte d'une vulnérabilité toute simple dans la version beta de Facebook qui permettait de prendre le contrôle de n'importe quel compte.

 

Le principe est simple : lorsqu'un utilisateur oublie son mot de passe sur Facebook, il peut choisir d'en recréer un nouveau en entrant son numéro de téléphone ou son adresse email. Facebook lui envoie alors un code à 6 chiffres au numéro indiqué qu'il faut renseigner pour pouvoir créer le nouveau mot de passe. Sur la version principale de Facebook, après 10 ou 12 essais infructueux, la page est bloquée. Mais sur beta.facebook.com cette limitation ne s'applique pas. Un oubli grave, qui rend possible l'essai de toutes les combinaisons possibles de codes par force brute. Anand Prakash a pu grâce à cette méthode remettre à zéro le mot de passe de son propre compte sans difficultés.

 

Il a ensuite contacté Facebook qui a réparé cette vulnérabilité. La mise en place de programmes de "bug bounties" a gagné en popularité ces dernières années. Elle motive les experts à chercher des failles et à les communiquer aux éditeurs contre une récompense. Ce fonctionnement est aussi courant depuis toujours parmi les groupes criminels, qui achètent et revendent des vulnérabilités sur le marché noir, parfois pour plus d'un million de dollars. Des agences de renseignement étatiques, comme la NSA, ont aussi admis par le passé acheter des failles par ce biais.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale