Facebook a corrigé une faille énorme qui concernait tous les comptes

09 mars 2016 à 10h10
0

Anand Prakash, chercheur en sécurité, a dû tomber des nues lorsqu'il s'est rendu compte que le service beta.facebook.com, sur lequel travaillent les développeurs, n'était pas bien sécurisé. Et pour découvrir le problème, il n'a pas vraiment eu besoin d'avoir recours à ses connaissances les plus pointues en matière de sécurité, loin s'en faut.

Comme il le raconte dans son blog, il a simplement demandé la réinitialisation d'un mot de passe, requête à laquelle le service répond par la saisie d'un code à 6 chiffres. Classique. Habituellement, au bout de trois essais, impossible d'effectuer une nouvelle tentative. Mais ce n'était pas le cas ici. Un petit script, et le million de combinaisons possibles est (relativement) rapidement testé. De quoi prendre le contrôle de n'importe quel compte.

Comme Google (qui distribue des récompenses à tour de bras pour les failles de son navigateur Chrome) et d'autres, Facebook dispose d'un programme de récompense pour les personnes qui viendraient l'alerter sur un bug.


Pour avoir signalé celui que nous évoquons ici au réseau social de Mark Zuckerberg, Anand Prakash a touché 15 000 dollars. Vous pourrez trouver cela pas cher payé pour un problème qui aurait pu avoir d'énormes répercussions, mais Facebook a probablement jugé que la faille était très simple à trouver.

Une question subsiste : qu'est-il advenu de la personne qui a oublié d'ajouter un blocage du nombre de tentatives...


A lire également :
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

SFR : la
Gears of War 4 : des détails sur l'histoire et le casting
Firefox 45 disponible : partage et synchronisation des onglets
Facebook brevette la détection des termes argotiques
Mais qui sont ces gens qui cliquent sur les publicités smartphone ?
Data scientist : à la recherche du mouton à 5 pattes
Apprendre comme dans Matrix n'est plus une fiction
Microsoft relance la chasse aux pirates de Windows et Office
Infos US de la nuit : Amazon veut aussi être présent dans la réalité virtuelle
Microsoft ferme Skype pour TV connectées
Haut de page