Sécurité IT : Facebook délie sa bourse pour les « white hats »
Facebook a versé 15 000 dollars à un hacker qui lui avait signalé la présence d’une faille permettant de prendre le contrôle de n’importe quel compte.
Ayant découvert une faille permettant de prendre le contrôle de n’importe quel compte Facebook, il a choisi… d’en informer le réseau social, qui l’a récompensé à hauteur de 15 000 dollars : Anand Prakash s’est rangé du côté des hackers « éthiques ».
Cet étudiant indien avait transmis son rapport le 22 février, accompagné d’une preuve d’exploitation en vidéo (voir ci-dessous). Il a obtenu une réponse le 2 mars, avec la prime associée.
La vulnérabilité en question se trouve au niveau du système de récupération des mots de passe.
Ceux qui l’ont oublié peuvent le réinitialiser en entrant un code à 6 chiffres envoyé à leur adresse e-mail ou par SMS.
Sur la version « classique » de Facebook, la procédure se bloque au bout d’une dizaine de saisies erronées, pour éviter les tentatives de découverte du code par force brute.
Problème : cette limite n’était pas implémentée sur la version bêta du réseau social (beta.facebook.com) au moment où Anand Prakash l’a testée. Il a donc pu forcer le passage par l’intermédiaire de Burp Suite, une plate-forme de test pour la sécurité des applications Web.
Une fois le mot de passe modifié, le hacker – qui a fait l’expérimentation sur son compte « dans le respect du règlement de Facebook – s’est assuré de désactiver les sessions ouvertes sur d’autres appareils.
Les 15 000 dollars de récompense font débat. Certains internautes estiment que la somme aurait dû être plus élevée au regard de la nature de la faille. D’autant plus que Facebook s’est déjà montré plus généreux, en remettant par exemple, l’été dernier, 100 000 dollars à une équipe de chercheurs qui avait mis en évidence une classe émergente de vulnérabilités C++.
En 2013, un autre hacker indien, nommé Arul Kumar, avait été médiatisé pour avoir mis au jour une brèche qui permettait d’effacer des photos sur n’importe quel compte. Il avait mené un test… sur le profil de Mark Zuckerberg.
Crédit photo : Evan Lorne – Shutterstock.com