Anand Prakash, chercheur en sécurité, a dû tomber des nues lorsqu'il s'est rendu compte que le service beta.facebook.com, sur lequel travaillent les développeurs, n'était pas bien sécurisé. Et pour découvrir le problème, il n'a pas vraiment eu besoin d'avoir recours à ses connaissances les plus pointues en matière de sécurité, loin s'en faut.
Comme il le raconte dans son blog, il a simplement demandé la réinitialisation d'un mot de passe, requête à laquelle le service répond par la saisie d'un code à 6 chiffres. Classique. Habituellement, au bout de trois essais, impossible d'effectuer une nouvelle tentative. Mais ce n'était pas le cas ici. Un petit script, et le million de combinaisons possibles est (relativement) rapidement testé. De quoi prendre le contrôle de n'importe quel compte.
Comme Google (qui distribue des récompenses à tour de bras pour les failles de son navigateur Chrome) et d'autres, Facebook dispose d'un programme de récompense pour les personnes qui viendraient l'alerter sur un bug.
Pour avoir signalé celui que nous évoquons ici au réseau social de Mark Zuckerberg, Anand Prakash a touché 15 000 dollars. Vous pourrez trouver cela pas cher payé pour un problème qui aurait pu avoir d'énormes répercussions, mais Facebook a probablement jugé que la faille était très simple à trouver.
Une question subsiste : qu'est-il advenu de la personne qui a oublié d'ajouter un blocage du nombre de tentatives...
- Télécharger Facebook Messenger
A lire également :
