Naviguer entre les profils utilisateurs facebook tel david copperfield ? une récente faille de sécurité le rendait possible.
C’est la première fois dans l’histoire de Facebook qu’un tel incident lui arrive. En effet, selon ses équipes de maintenance qui se sont dépêchées de publier des informations en ligne relatives au problème, une faille de sécurité majeure donnant accès à l’intégralité des comptes utilisateurs de son catalogue a été colmatée de justesse et découverte par un indien. Combien de personnes ont été victimes d’intrusions liées à la faille ? Aucune information ne fuite à ce sujet, mais le réseau social a dûment récompensé l’ingénieur à l’origine de la trouvaille.
Découverte de justesse
C’est Anand Prakash, un ingénieur indien spécialisé en sécurité informatique, qui est à l’origine de la découverte de la plus importante faille de sécurité de Facebook à ce jour. Malgré le fait que la vulnérabilité soit désormais colmatée, elle a poussé le réseau social de Mark Zuckerberg à s’induire en erreur et de lancer un programme de tests encore plus poussés.
Pour remercier le jeune informaticien, Facebook lui a offert 15.000 dollars, somme jugée dérisoire par certains, rappelant que la firme pèse plusieurs milliards de dollars grâce à son 1,5 milliard d’utilisateurs. La faille étant critique puisque donnant libre accès en continu à l’intégralité des profils utilisateurs à quiconque saurait l’exploiter, Anand Prakash aurait dû être mieux récompensé. Certains parlent même d’une embauche au sein de l’équipe de sécurité informatique du réseau social.
Fonctionnement de la faille
Comme expliqué en détails sur le blog officiel de l’ingénieur indien, la faille de sécurité donnait accès à tout les comptes d’utilisateurs. Pour y parvenir le pirate devait se servir de l’une des étapes de vérification de l’identité du titulaire du compte en question. En effet, comme beaucoup le savent lorsque vous réinitialisez votre mot de passe, il vous est demandé (si vous avez lié votre compte à votre numéro de téléphone) de fournir un code de sécurité constitué d’une série de six chiffres qui vous est envoyée par SMS sur votre smartphone.
Après plusieurs échecs (série de six chiffres manquée à plusieurs reprises), une erreur s’affiche et c’est là que le pirate peut injecter du code ou un dictionnaire hexadécimal ou Unicode pour tenter de trouver la bonne combinaison de chiffres, pénétrer de force le compte et/ou en prendre possession.
Si vous aussi vous vous sentez apte à trouver une faille sur Facebook, lorsque vous aurez réussi, vous pourrez via ce lien, en informer le réseau social.
Crédit photo principale : Flickr – C_osett