Une faille sur Facebook aurait permis de pirater n’importe quel compte

Facebook a peut-être échappé à un cataclysme grâce à un hacker « White Hat » indien. La découverte de ce dernier aurait pu semer une zizanie sans nom, si elle était tombée entre de mauvaises mains.

Facebook like pixabay

Le hacker indien Anand Prakash met son talent dans le domaine de l’informatique pour rechercher des failles sur des sites populaires, afin d’en avertir leur propriétaire. Il y a quelques jours, ce dernier a mis la main sur une vulnérabilité qui permettait à un hacker de pirater absolument tous les comptes du réseau social, très facilement…

Une faille qui permettait de pirater tous les comptes Facebook de la planète

La vulnérabilité découverte par Anand Prakash permettait de faire une demande de changement de mot de passe et ainsi de s’approprier le compte de n’importe qui en très peu de temps, grâce à la technique de force brute.

Pour comprendre la faille de Facebook, lorsque vous oubliez votre mot de passe et que vous souhaitez le récupérer, vous recevez un SMS avec un code à 6 caractères, que vous devez ensuite renseigner pour accéder à nouveau à votre page. A priori, la méthode est totalement sécurisée car, d’une part il faut votre téléphone et d’autre part il n’est possible de faire que 10 essais. Pourtant, des pirates auraient pu quand même utiliser la force brute et tester toutes les combinaisons.

En effet, ce protocole concerne la page principale de Facebook (serveur classique), mais le réseau social avait oublié d’appliquer la même contrainte de 10 essais avant le blocage pour la page destiné au serveur « Béta », où sont testées les applications en cours d’expérimentation. Un hacker pouvait donc lancer un programme pour tester par force brute l’ensemble des combinaisons de ce code d’oubli de mot de passe !

On imagine fort bien l’intérêt d’obtenir le code d’accès de tous les utilisateurs de Facebook, soit pour semer la zizanie et causer un très important préjudice à Facebook, soit pour voler des données privées et les revendre sur internet, soit pour demander des rançons aux utilisateurs, pour diffuser un malware sur le réseau social ou pour poster des articles et des commentaires dans un but marketing. Les possibilités sont nombreuses lorsque l’on dispose des clés de tous les comptes Facebook aussi facilement.

Pour prouver la simplicité de ce piratage, le hacker indien Anand Prakash a réalisé une vidéo que l’on peut voir en fin d’article. Le réseau social a aujourd’hui corrigé la vulnérabilité et a signé un chèque de 15.000 dollars de récompense pour remercier ce White Hat.

Source


4 commentaires

  1. News déjà dépassé. Elle date d’hier le 08/03. Et aujourd’hui (donc, le 09) facebook la déjà corrigée.

    • Sérieux ? Une news n’est donc valide qu’un jour ou même une heure ?

    • Emmanuel Ghesquier
      Emmanuel Ghesquier on

      Il y a une grande différence entre une News et un scoop… Et en lisant l’article jusqu’au bout, vous verrez que cela date même d’avant cela puisque l’échange avec Facebook date de fin février. Cela n’empêche pas les internautes d’avoir le droit d’être au courant que leur compte était virtuellement piratable très facilement.

Send this to friend

Lire les articles précédents :
Firefox partager onglet
Firefox vous permet maintenant de partager vos onglets

Il n’y a rien à installer et aucune inscription à faire. Avec cette fonctionnalité, vous vous passerez peut-être de Skype...

Fermer