Facebook : une faille donnait accès à tous les comptes !

Facebook a évité le pire grâce à Anand Prakash, un hacker indien, chercheur en cybersécurité ! Ce dernier a découvert une faille qui permettait de rentrer dans n’importe quel compte du réseau social. Oeuvrant en tant que «white hat», pirate informatique engagé dans le bien et la sécurité, il a averti de cette vulnérabilité le géant américain, le 22 février dernier, le lendemain la faille était sécurisée. Imaginez la pagaille si ce bug avait été découvert par un hacker malintentionné…

Anand Prakash explique sur son blog, dans une note intitulée « Comment j’aurais pu pirater tous les comptes Facebook », que le bug touchait le processus de réinitialisation du mot de passe. Avec le système de double authentification, un code temporaire de six chiffres est envoyé sur le smartphone de l’utilisateur, le blocage du compte s’effectue après une dizaine d’essais erronés.

Le problème est que ces mesures de sécurité ne figuraient pas dans les versions bêta utilisées par les développeurs (beta.facebook.com et mbasic.beta.facebook.com). En passant par ces sites, Anand Prakash a pu entrer des millions de combinaisons, sans être inquiété par la limite d’essais. Il a ainsi piraté son propre compte pour prouver l’existence de cette faille.

Le programme Bug Bounty lancé en 2011 par la firme de Mark Zuckerberg, qui récompense les chasseurs de failles du réseau social, a offert au hacker indien 15.000 dollars. Facebook aurait déjà distribué plus de 4 millions de dollars à 800 «white hat» à travers le monde ayant mis à jour 2400 cas de vulnérabilité.