Pour gérer vos consentements :
Categories: Sécurité

Sécurité IT : Facebook délie sa bourse pour les « white hats »

Ayant découvert une faille permettant de prendre le contrôle de n’importe quel compte Facebook, il a choisi… d’en informer le réseau social, qui l’a récompensé à hauteur de 15 000 dollars : Anand Prakash s’est rangé du côté des hackers « éthiques ».

Cet étudiant indien avait transmis son rapport le 22 février, accompagné d’une preuve d’exploitation en vidéo (voir ci-dessous). Il a obtenu une réponse le 2 mars, avec la prime associée.

La vulnérabilité en question se trouve au niveau du système de récupération des mots de passe.

Ceux qui l’ont oublié peuvent le réinitialiser en entrant un code à 6 chiffres envoyé à leur adresse e-mail ou par SMS.

Sur la version « classique » de Facebook, la procédure se bloque au bout d’une dizaine de saisies erronées, pour éviter les tentatives de découverte du code par force brute.

Problème : cette limite n’était pas implémentée sur la version bêta du réseau social (beta.facebook.com) au moment où Anand Prakash l’a testée. Il a donc pu forcer le passage par l’intermédiaire de Burp Suite, une plate-forme de test pour la sécurité des applications Web.

Une fois le mot de passe modifié, le hacker – qui a fait l’expérimentation sur son compte « dans le respect du règlement de Facebook – s’est assuré de désactiver les sessions ouvertes sur d’autres appareils.

Les 15 000 dollars de récompense font débat. Certains internautes estiment que la somme aurait dû être plus élevée au regard de la nature de la faille. D’autant plus que Facebook s’est déjà montré plus généreux, en remettant par exemple, l’été dernier, 100 000 dollars à une équipe de chercheurs qui avait mis en évidence une classe émergente de vulnérabilités C++.

En 2013, un autre hacker indien, nommé Arul Kumar, avait été médiatisé pour avoir mis au jour une brèche qui permettait d’effacer des photos sur n’importe quel compte. Il avait mené un test… sur le profil de Mark Zuckerberg.

Crédit photo : Evan Lorne – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago