Anand Prakash, chercheur en sécurité, a dû tomber des nues lorsqu'il s'est rendu compte que le service beta.facebook.com, sur lequel travaillent les développeurs, n'était pas bien sécurisé. Et pour découvrir le problème, il n'a pas vraiment eu besoin d'avoir recours à ses connaissances les plus pointues en matière de sécurité, loin s'en faut.
Comme il le raconte dans son blog, il a simplement demandé la réinitialisation d'un mot de passe, requête à laquelle le service répond par la saisie d'un code à 6 chiffres. Classique. Habituellement, au bout de trois essais, impossible d'effectuer une nouvelle tentative. Mais ce n'était pas le cas ici. Un petit script, et le million de combinaisons possibles est (relativement) rapidement testé. De quoi prendre le contrôle de n'importe quel compte.
Comme Google (qui distribue des récompenses à tour de bras pour les failles de son navigateur Chrome) et d'autres, Facebook dispose d'un programme de récompense pour les personnes qui viendraient l'alerter sur un bug.
Pour avoir signalé celui que nous évoquons ici au réseau social de Mark Zuckerberg, Anand Prakash a touché 15 000 dollars. Vous pourrez trouver cela pas cher payé pour un problème qui aurait pu avoir d'énormes répercussions, mais Facebook a probablement jugé que la faille était très simple à trouver.
Une question subsiste : qu'est-il advenu de la personne qui a oublié d'ajouter un blocage du nombre de tentatives...
- Télécharger Facebook Messenger
A lire également :
Mes domaines de prédilection ? Les ordinateurs portables et les SSD ! Mais de temps à autre, je m'autorise quelques infidélités pour des boîtiers, des alimentations ou des solutions de refroidissement, tests dont je suis particulièrement friand. Je déteste l'expression "Le mieux est l'ennemi du bien" (notamment lorsqu'il s'agit de rendre mon PC silencieux), les livreurs qui arrivent sans bordereau et les coups de pieds de Polo sous le bureau. J'aime réussir mes photos-produit, améliorer les protocoles de test et cocher la case "Public" de notre interface d'édition. Féru de football, je m'essaie également à la photographie à mes heures perdues et ne recule jamais devant une petite partie de poker. Le tout saupoudré de beaucoup, beaucoup de musique.
Lire d'autres articles
