Facebook : Une faille permettait de pirater n’importe quel compte
Toutes les plateformes ont des failles et Facebook ne semble pas être une exception. Un expert en sécurité a pu trouver une vulnérabilité et montrer qu’il était possible de pirater tous les comptes de la plateforme.
Anand Prakash aurait pu causer bien du souci à Facebook. Mais ce pirate informatique indien a plutôt choisi d’avertir le réseau social, après avoir découvert une faille de sécurité qui permettait d’accéder à n’importe quel compte, rapporte Le Figaro mercredi 9 mars.
Anand Prakash, qui est aussi chercheur en cybersécurité, a découvert un bug qui affectait le dispositif de réinitialisation des mots de passe sur Facebook. En temps normal, un utilisateur doit entrer un code de 6 chiffres reçu par SMS avant de pouvoir choisir un nouveau mot de passe. Au bout de dix essais erronés, le compte est bloqué.
Un piratage focalisé sur l’adresse bêta du réseau
Lorsque l’on sait que le nombre d’utilisateurs actifs au quotidien se compte en plusieurs dizaines de millions, Mark Zuckerberg peut avoir de véritables sueurs froides lorsque ce type d’annonce est fait. C’est un expert en sécurité qui a glacé le sang de tous les utilisateurs, car il était en mesure de pirater l’ensemble des comptes du réseau social et cela sans aucune exception. Le mode opératoire était assez simple puisqu’il se basait sur une attaque en Force Brute à l’aide d’un numéro composé de six chiffres. Cette méthode est largement utilisée sur le Web et de nombreux hackers ont recours à cette pratique pour prendre le contrôle des comptes comme ceux référencés sur WordPress.
Hacker tous les comptes Facebook avec le Force Brute
Heureusement, l’homme à l’origine de cette découverte est un « White Hat Hacker », il est donc du bon côté de la force et sa trouvaille permet à Facebook de renforcer sa sécurité. Si toutefois, cette vulnérabilité avait été utilisée à mauvais escient, les dégâts auraient sans doute été conséquents. Anand Prakash a tout de même levé le voile sur sa découverte en partageant un article baptisé « Comment hacker tous les comptes Facebook ». C’est sobre, efficace et assez pertinent pour attiser la curiosité autour d’une vidéo proposée sur YouTube. L’arnaque s’articule autour de l’adresse « beta.facebook.com » qui offre la possibilité de réinitialiser le mot de passe sans aucune contrainte.
Contrairement à l’adresse facebook.com, l’adresse beta.facebook.com permet de tenter à l’infini de réinitialiser votre mot de passe grâce à un code de six chiffres que Facebook transmet à la demande d’un utilisateur ayant oublié son mot de passe.
Facebook récompense le bon hacker avec un chèque de 15 000 dollars
Un code à six chiffres est ensuite proposé et le hacker peut de ce fait pénétrer dans la vie privée d’un internaute en pillant toutes les données présentes. Facebook a eu l’occasion de réagir en prenant connaissance de cette trouvaille. Le hacker a pu obtenir une récompense à savoir 15 000 dollars et éviter à un bon nombre d’utilisateurs du réseau social de perdre des photos, messages…
Cet aspect n’a toujours pas été confirmé par Facebook. Gizmodo a indiqué avoir contacté Facebook pour obtenir une confirmation en ce sens. La réponse de Facebook se fait toujours attendre.
La faille aurait été découverte le 22 février dernier et Prakash serait passé à la banque le 2 mars.