Un hacker indien a trouvé récemment une faille dans la version web de Facebook. Elle aurait pu permettre à n’importe quel compte d’être piraté. La société, avertie fin février, a depuis corrigé la vulnérabilité, permettant à l’auteur de la découverte, Anand Prakash, d’en publier les détails.
Anand Prakash est un chercheur en sécurité résidant en Inde. Dans un billet publié hier, il explique avoir découvert une « vulnérabilité simple » qui lui a permis de tester le piratage d’un compte Facebook. La technique lui ouvrait alors toutes les portes du réseau social, l’autorisant à publier des statuts, lire les messages privés, accéder aux paiements lorsque le cas se présentait et ainsi de suite. En clair, tout ce qu’un compte Facebook peut permettre.
Un processus de changement du mot de passe...
La faille de sécurité résidait dans la procédure qui permet de déclarer une perte du mot de passe, donc sa réinitialisation. Plus précisément, il existe un problème dans la manière dont Facebook traite ces requêtes. Le réseau social demande une confirmation de ces dernières à l’utilisateur en lui réclamant un code à six chiffres qui est envoyé soit dans l’application mobile, soit par SMS, soit par email.
Facebook permet dix tentatives pour ce code, avant de bloquer complètement le compte, laissant l’utilisateur face à une procédure plus complexe de récupération. Cette limite se retrouve dans de nombreux services puisqu’elle permet de bloquer les attaques par force brute, quand le pirate essaie de deviner le bon code en tentant toutes les combinaisons. C’est précisément, par exemple, ce qu’essaye de faire le FBI avec l’iPhone 5c récupéré dans le cadre de l’enquête sur la fusillade de San Bernardino.
... vulnérable aux attaques par force brute
Seulement voilà, si le site officiel dispose bien de cette barrière, ce n’était pas le cas de deux adresses permettant de tester les préversions du service : beta.facebook.com et mbasic.beta.facebook.com. Sur les deux sites, Anand Prakash a pu lancer des attaques par force brute contre le code à six chiffres, avec succès à chaque fois. Un oubli clairement crucial, dont le chercheur a averti Facebook le 22 février dernier, dans le cadre du programme de chasse aux bugs de l’éditeur. Les détails n’ont pas été dévoilés publiquement avant que l’entreprise n’ait corrigé le tir.
Le chercheur a été récompensé de 15 000 dollars par Facebook, toujours dans le cadre de son programme de sécurité. En plus des explications fournies sur son blog, Anand Prakash a publié une vidéo de démonstration.
Commentaires (47)
#1
ça n’a peut-être été déclaré que récemment. ^^
#2
ben le truc c’est que la beta est un truc de “dev” avec plein de bug dedans (le but de la beta c’est justement de les trouver) sauf que comme on tape dans les même bases clients ca fait cette effet la
#3
#4
Ils ont dû trouver un autre moyen pour l’annoncer.
#5
C’est assez dingue d’avoir un soft en beta qui exploite les mêmes données que la prod, ça n’a même aucun sens tant les solutions sont nombreuses pour l’éviter.
Au delà de ça c’est typiquement le genre de cas sur lequel ont est sensé écrire un test, ce niveau d’amateurisme est assez impressionnant pour une entreprise de cette taille, d’autant plus qu’il s’agit de leur cœur de métier.
#6
#7
Il n’est pas né le gus qui pourra craquer mon compte facebook ! " />
#8
Purée, tu fais la même dans une “vraie” boîte d’industrie, tu te fais taper très fort sur les doigts.
#9
La c’est le moment où tu te dit que t’aurai pu la trouver tout seul et t’offrir des supers vacances sigh
#10
BURP
#11
15000$ pour ça, franchement… ça vaut carrément le coup d’essayer de pirater ^^
#12
Plus maintenant. Je viens de t’en créer un.
#13
#14
“Anand Prakash a pu lancer des attaques par force brute contre le code à six chiffres, avec succès à chaque fois.“Tu m’etonnes, ça doit se trouver en 20sec… C’est quand meme ouf de se dire quand rajoutant une protection (l’envoi d’une verif par sms) facebook a en realité vulnérabilisé l’acces aux compte de personnes qui se sentaient intouchable parce qu’elles avaient un mot de passe fort… " />
#15
C’est abusé que FB lâche uniquement 15000$ quand le préjudice aurait pu atteindre des millions surtout… Business is business, le con dans l’histoire c’est le trouveur qui aurait du revendre à un autre parti que FB en fait.
#16
Seulement voilà, si le site officiel dispose bien de cette barrière, ce n’était pas le cas de deux adresses permettant de tester les préversions du service : beta.facebook.com et mbasic.beta.facebook.com.
Bon… Je pourrais faire une remarque caustique sur la difficulté de différencier le site officiel de la beta, mais vraiment ce serait comme tirer sur une ambulance.
#17
Un hacker indien a trouvé récemment une faille dans la version web de Facebook.
Heu… c’est moi ou bien ? Facebook existe autre part que sur le web ?" />
#18
Les applications pour mobile sans doute.
#19
#20
#21
burp suite plus exactement. testez beef il est encore plus croustillant …..
#22
Un code à 4 chiffres, c’est une faille en lui-même. Ils se foutent de notre gueule. Il faut au minimum 10 caractères, et avec chiffres et lettres.
#23
Pas besoin d’outil pour ça, c’est un code à 6 chiffres. En Python :
>>> import itertools
>>> list(itertools.permutations(range(10), 6))
Et voilà.
#24
#25
#26
#27
#28
Le monde n’est pas aussi vilain que tu ne le crois tu sais.
Les gens bons existent encore, les jambons aussi d’ailleurs.
#29
#30
Sauf que c’est pas légal et que cela lui permet d’avoir une bonne visibilité au niveau pro.
Au moins ce système de récompenses a le mérite d’exister, je crois pas que les services francais en font autant.
#31
Et donc maintenant ledit gus c’est toi-même, pour en récupérer l’accès et le supprimer " />
#32
#33
#34
#35
Suffisamment trivial pour être réalisé en quelques minutes avec un shell script et du curl mais n’importe quel langage permettra de le faire.
#36
#37
#38
#39
#40
Les comptes user de la prod sont ceux également utilisés pour la dev. Surprenant ? " />
#41
" />
#42
#43
#44