Une faille sur Facebook aurait permis de pirater n’importe quel compte

Facebook a peut-être échappé à un cataclysme grâce à un hacker « White Hat » indien. La découverte de ce dernier aurait pu semer une zizanie sans nom, si elle était tombée entre de mauvaises mains.

Facebook like pixabay

Le hacker indien Anand Prakash met son talent dans le domaine de l’informatique pour rechercher des failles sur des sites populaires, afin d’en avertir leur propriétaire. Il y a quelques jours, ce dernier a mis la main sur une vulnérabilité qui permettait à un hacker de pirater absolument tous les comptes du réseau social, très facilement…

Une faille qui permettait de pirater tous les comptes Facebook de la planète

La vulnérabilité découverte par Anand Prakash permettait de faire une demande de changement de mot de passe et ainsi de s’approprier le compte de n’importe qui en très peu de temps, grâce à la technique de force brute.

Pour comprendre la faille de Facebook, lorsque vous oubliez votre mot de passe et que vous souhaitez le récupérer, vous recevez un SMS avec un code à 6 caractères, que vous devez ensuite renseigner pour accéder à nouveau à votre page. A priori, la méthode est totalement sécurisée car, d’une part il faut votre téléphone et d’autre part il n’est possible de faire que 10 essais. Pourtant, des pirates auraient pu quand même utiliser la force brute et tester toutes les combinaisons.

En effet, ce protocole concerne la page principale de Facebook (serveur classique), mais le réseau social avait oublié d’appliquer la même contrainte de 10 essais avant le blocage pour la page destiné au serveur « Béta », où sont testées les applications en cours d’expérimentation. Un hacker pouvait donc lancer un programme pour tester par force brute l’ensemble des combinaisons de ce code d’oubli de mot de passe !

On imagine fort bien l’intérêt d’obtenir le code d’accès de tous les utilisateurs de Facebook, soit pour semer la zizanie et causer un très important préjudice à Facebook, soit pour voler des données privées et les revendre sur internet, soit pour demander des rançons aux utilisateurs, pour diffuser un malware sur le réseau social ou pour poster des articles et des commentaires dans un but marketing. Les possibilités sont nombreuses lorsque l’on dispose des clés de tous les comptes Facebook aussi facilement.

Pour prouver la simplicité de ce piratage, le hacker indien Anand Prakash a réalisé une vidéo que l’on peut voir en fin d’article. Le réseau social a aujourd’hui corrigé la vulnérabilité et a signé un chèque de 15.000 dollars de récompense pour remercier ce White Hat.

Source


  • Nouveau BMW X3 : plus que jamais, un bébé X5

    La nouvelle génération de X3 pointe le bout de son capot, et plus que jamais aussi bien sur le plan esthétique que technologique, il se positionne comme X5 en réduction. Design qui évolue en douceur Si l’esthétique de la première génération de X3, pour rappel présentée en 2003, jouait la carte du baroudeur plutôt que [... […]

  • Teasing : La prochaine Nissan Leaf compte jouer les trouble-fête

    Bientôt de sortie, la future Nissan Leaf livre ses premiers arguments pour devenir le best-seller électrique, et faire de l'ombre à la Model 3. […]

  • Volkswagen : cinq électriques d’ici 2022, deux surprises privées d’Europe

    Chez Volkswagen, on s’empresse de dégainer l’offensive électrique le plus vite possible. Et visiblement, plus on se rapproche de l’échéance, plus on découvre de nouveaux modèles Une gamme complète Volkswagen Insufflé par la présentation du concept I.D. au Mondial de l’Auto en Septembre 2016, la gamme électrique Volkswagen s’est vue déclinée dans une version Minivan [... […]

Nos dernières vidéos

4 commentaires

  1. News déjà dépassé. Elle date d’hier le 08/03. Et aujourd’hui (donc, le 09) facebook la déjà corrigée.

    • Sérieux ? Une news n’est donc valide qu’un jour ou même une heure ?

    • Emmanuel Ghesquier
      Emmanuel Ghesquier on

      Il y a une grande différence entre une News et un scoop… Et en lisant l’article jusqu’au bout, vous verrez que cela date même d’avant cela puisque l’échange avec Facebook date de fin février. Cela n’empêche pas les internautes d’avoir le droit d’être au courant que leur compte était virtuellement piratable très facilement.

Send this to a friend