Cybersécurité : il empoche 15000 dollars en découvrant une faille toute bête de Facebook

Un expert en sécurité informatique a remporté la somme de 15000 dollars pour avoir alerté Facebook sur une faille permettant de prendre le contrôle de n'importe quel compte.

Une pratique de plus en plus en vogue parmi les éditeurs de logiciels pour renforcer la sécurité de leurs produits.

Partager
Cybersécurité : il empoche 15000 dollars en découvrant une faille toute bête de Facebook

[Mise à jour, le 10 mars à 9:10] : La vidéo montrant la manipulation et initialement insérée ici a été retirée de YouTube.

L'ingénieur en cybersécurité Anand Prakash aime jouer les chasseurs de primes. Mais attention, il ne traque pas les bandits, mais les bugs. L'un d'entre eux vient de lui valoir une récompense de 15 000 dollars de la part de Facebook. Anand Prakash s'est rendu compte d'une vulnérabilité toute simple dans la version beta de Facebook qui permettait de prendre le contrôle de n'importe quel compte.

Le principe est simple : lorsqu'un utilisateur oublie son mot de passe sur Facebook, il peut choisir d'en recréer un nouveau en entrant son numéro de téléphone ou son adresse email. Facebook lui envoie alors un code à 6 chiffres au numéro indiqué qu'il faut renseigner pour pouvoir créer le nouveau mot de passe. Sur la version principale de Facebook, après 10 ou 12 essais infructueux, la page est bloquée. Mais sur beta.facebook.com cette limitation ne s'applique pas. Un oubli grave, qui rend possible l'essai de toutes les combinaisons possibles de codes par force brute. Anand Prakash a pu grâce à cette méthode remettre à zéro le mot de passe de son propre compte sans difficultés.

Il a ensuite contacté Facebook qui a réparé cette vulnérabilité. La mise en place de programmes de "bug bounties" a gagné en popularité ces dernières années. Elle motive les experts à chercher des failles et à les communiquer aux éditeurs contre une récompense. Ce fonctionnement est aussi courant depuis toujours parmi les groupes criminels, qui achètent et revendent des vulnérabilités sur le marché noir, parfois pour plus d'un million de dollars. Des agences de renseignement étatiques, comme la NSA, ont aussi admis par le passé acheter des failles par ce biais.

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS