Un hacker indien a trouvé récemment une faille dans la version web de Facebook. Elle aurait pu permettre à n’importe quel compte d’être piraté. La société, avertie fin février, a depuis corrigé la vulnérabilité, permettant à l’auteur de la découverte, Anand Prakash, d’en publier les détails.

Anand Prakash est un chercheur en sécurité résidant en Inde. Dans un billet publié hier, il explique avoir découvert une « vulnérabilité simple » qui lui a permis de tester le piratage d’un compte Facebook. La technique lui ouvrait alors toutes les portes du réseau social, l’autorisant à publier des statuts, lire les messages privés, accéder aux paiements lorsque le cas se présentait et ainsi de suite. En clair, tout ce qu’un compte Facebook peut permettre.

Un processus de changement du mot de passe...

La faille de sécurité résidait dans la procédure qui permet de déclarer une perte du mot de passe, donc sa réinitialisation. Plus précisément, il existe un problème dans la manière dont Facebook traite ces requêtes. Le réseau social demande une confirmation de ces dernières à l’utilisateur en lui réclamant un code à six chiffres qui est envoyé soit dans l’application mobile, soit par SMS, soit par email.

Facebook permet dix tentatives pour ce code, avant de bloquer complètement le compte, laissant l’utilisateur face à une procédure plus complexe de récupération. Cette limite se retrouve dans de nombreux services puisqu’elle permet de bloquer les attaques par force brute, quand le pirate essaie de deviner le bon code en tentant toutes les combinaisons. C’est précisément, par exemple, ce qu’essaye de faire le FBI avec l’iPhone 5c récupéré dans le cadre de l’enquête sur la fusillade de San Bernardino.

... vulnérable aux attaques par force brute

Seulement voilà, si le site officiel dispose bien de cette barrière, ce n’était pas le cas de deux adresses permettant de tester les préversions du service : beta.facebook.com et mbasic.beta.facebook.com. Sur les deux sites, Anand Prakash a pu lancer des attaques par force brute contre le code à six chiffres, avec succès à chaque fois. Un oubli clairement crucial, dont le chercheur a averti Facebook le 22 février dernier, dans le cadre du programme de chasse aux bugs de l’éditeur. Les détails n’ont pas été dévoilés publiquement avant que l’entreprise n’ait corrigé le tir.

Le chercheur a été récompensé de 15 000 dollars par Facebook, toujours dans le cadre de son programme de sécurité. En plus des explications fournies sur son blog, Anand Prakash a publié une vidéo de démonstration.