Facebook a corrigé une faille énorme qui concernait tous les comptes


Anand Prakash, chercheur en sécurité, a dû tomber des nues lorsqu'il s'est rendu compte que le service beta.facebook.com, sur lequel travaillent les développeurs, n'était pas bien sécurisé. Et pour découvrir le problème, il n'a pas vraiment eu besoin d'avoir recours à ses connaissances les plus pointues en matière de sécurité, loin s'en faut.

Comme il le raconte dans son blog, il a simplement demandé la réinitialisation d'un mot de passe, requête à laquelle le service répond par la saisie d'un code à 6 chiffres. Classique. Habituellement, au bout de trois essais, impossible d'effectuer une nouvelle tentative. Mais ce n'était pas le cas ici. Un petit script, et le million de combinaisons possibles est (relativement) rapidement testé. De quoi prendre le contrôle de n'importe quel compte.

Comme Google (qui distribue des récompenses à tour de bras pour les failles de son navigateur Chrome) et d'autres, Facebook dispose d'un programme de récompense pour les personnes qui viendraient l'alerter sur un bug.


Pour avoir signalé celui que nous évoquons ici au réseau social de Mark Zuckerberg, Anand Prakash a touché 15 000 dollars. Vous pourrez trouver cela pas cher payé pour un problème qui aurait pu avoir d'énormes répercussions, mais Facebook a probablement jugé que la faille était très simple à trouver.

Une question subsiste : qu'est-il advenu de la personne qui a oublié d'ajouter un blocage du nombre de tentatives...


A lire également :
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

D'après Bureau Veritas, OVH doit prévoir des travaux sur le datacenter de Roubaix pour la prévention d'incendies
Ethereum : tour d'horizon et chiffres clés sur l'écosystème de la deuxième cryptomonnaie mondiale
Test des AirTags : l'accessoire Apple indispensable des têtes en l'air ?
FLoC : Brave, DuckDuckGo, GitHub, WordPress… Pourquoi une telle levée de boucliers contre Google ?
Des chercheurs ont réussi à pirater une Tesla à l'aide d'un drone (et Tesla a déjà patché la faille)
Saliout-1 : la première station spatiale, et pas la plus heureuse
Test de Resident Evil Village : une balade à la campagne qui tourne mal
Idéal pour le télétravail, cet ordinateur HP Chromebook passe à moins de 300€ !
Mini-LED à l’assaut de l’OLED ? On fait le point sur cette ambitieuse technologie LCD
Portal : un fan du jeu a transformé son Alexa en une GLaDOS plus vraie que nature
Haut de page