Facebook communiquait récemment sur la manière dont certains chercheurs en sécurité avaient été dûment récompensés pour avoir trouvé des failles dans le réseau social. Telle n’est cependant pas l’histoire du technicien Khalil Shreateh qui, face au refus de Facebook de prendre en compte le bug qu’il avait découvert, n’a eu d’autre choix que de pirater le compte de Mark Zuckerberg pour montrer sa bonne foi.
Au début du mois, Facebook communiquait très officiellement au sujet de l’argent reversé à ceux qui participaient à son programme de recherche de failles de sécurité. Ainsi, ce sont plus d’un million de dollars qui ont été reversés depuis le début dudit programme, certains ayant empoché plus de 100 000 dollars cumulés. Pour une seule faille, Facebook a déjà dépassé les 20 000 dollars de récompenses, et les profils des lauréats étaient pour le moins variés. On apprenait ainsi que le plus jeune découvreur n’était âgé que de… 13 ans seulement.
« Désolé, ceci n'est pas un bug »
Pour autant, tous les découvreurs de failles ne sont pas nécessairement récompensés comme ils le voudraient. C’est le cas de Khalil Shreateh, un expert de Palestine. Il a lui-même découvert une faille de sécurité permettant de publier sans autorisation des liens vers les murs de personnes qui n'étaient pas amies. Comme il le relate dans un long billet de blog, il a informé à plusieurs reprises Facebook de sa découverte, sans réellement être pris au sérieux. La suite des évènements est pour le moins originale.
C’est ainsi qu’il commence par s'attaquer au compte de Sarah Goodin, première femme inscrite sur Facebook et qui était notamment dans le même lycée que Mark Zuckerberg quand ils étaient jeunes.
Il avertit alors les équipes de sécurité de Facebook qui indiquent simplement ne pas pouvoir vérifier la faille. Le profil de Sarah Goodin n’est en effet accessible que pour ses amis, et seul Khalil Shreateh pouvait voir sa publication puisqu’il en était l’auteur. Dans sa réponse à Facebook, Shreateh réitère et indique qu’il peut pirater de la même manière le compte de Mark Zuckerberg si nécessaire, son mur étant visible de tous.
Mark Zuckerberg, l'étape supèrieure
Lorsqu’une nouvelle fois l’équipe de sécurité répond qu’il ne s’agit pas d’une faille, le découvreur passe à la vitesse supérieure. Il utilise donc la brèche de sécurité sur le profil du célèbre fondateur de Facebook et publie deux captures d’écrans en tant que preuves, quand bien même on sait qu’il est facile de produire des captures factices.
Sur le mur de Zuckerberg, Shreateh décrit sa faille et comment l’équipe de sécurité a refusé deux fois de prendre en compte sa découverte. Rapidement, un ingénieur en sécurité de Facebook prend contact avec le découvreur pour lui demander les détails de son opération. Shreateh s’exécute mais voit son compte désactivé quelques minutes plus tard.
La douche froide
Après une demande d’explications auprès de Facebook, l’équipe lui répond que cette désactivation est une mesure de précaution, ce qui se vérifiera rapidement avec un retour en ligne de son profil. Dans un email, l’équipe de sécurité s’expliquera toutefois de cette action et en profitera pour indiquer la bonne marche à suivre.
« Facebook a désactivé votre compte par précaution. Quand nous avons découvert votre activité, nous n’étions pas certains de ce qui était en train de se produire. Malheureusement, votre rapport à notre système Whitehat ne renfermait pas assez d’informations pour nous permettre une quelconque action. Nous ne pouvons pas répondre aux rapports qui n’ont pas assez de détails pour nous permettre de reproduire le problème. Quand vous soumettrez d’autres rapports dans le futur, nous vous demanderons de bien vouloir inclure s’il-vous-plaît assez d’informations pour répéter vos actions. »
Cependant, la suite de l’email est une véritable douche froide :
« Nous ne sommes malheureusement pas en mesure de vous payer pour cette vulnérabilité car vous avez violé les conditions d’utilisation du service. Nous espérons toutefois que vous continuerez de travailler avec nous pour trouver des failles sur le site ».
En clair, le piratage des comptes de Sarah Goodin et de Mark Zuckerberg est une violation des conditions d’utilisation, ce qui revient à enfoncer une porte ouverte. Toutefois, l’équipe de sécurité explique qu’en raison de cette violation, il n’est pas question de rémunérer Khalil Shreateh. L’expert a-t-il abusé ou Facebook est-il mauvais perdant ? La question divise et les commentaires fusent pour défendre un point de vue ou un autre.
Mauvaise méthode contre mauvaise foi
Certains estiment ainsi que Facebook affiche sa mauvaise foi en ne récompensant pas un homme qui, en définitive, a prouvé par la manière forte et en insistant qu’il était bien en possession d’une faille authentique. D’autres jugent que Shreateh aurait dû savoir comment faire un rapport de bug convenablement. Ce à quoi d’autres encore jugent que Facebook aurait dû demander des détails supplémentaires, ce qui n’a jamais été fait. Enfin, certains pensent que récompenser Shreateh serait une manière pour Facebook d’autoriser les chercheurs de faille à pirater des comptes tiers pour leurs démonstrations, ce qui ne pourrait pas être toléré.
Dans une réponse donnée par un ingénieur Facebook, la société reconnaît qu’elle aurait dû demander des détails supplémentaires et que la faille a été corrigée jeudi dernier. La ligne de défense est simple : l’équipe de sécurité reçoit des centaines de rapports tous les jours et le découvreur s’était montré trop succinct dans sa description. Il rappelle en outre que les conditions du système Whitehat sont claires et qu’aucune utilisation d’un compte tiers ne peut être réalisée sans une permission idoine et explicite.
En définitive, il s’agit pour Facebook d’un rapport gratuit et d’un rappel à l’ordre pour tous les chercheurs de failles.
