Facebook : une faille permettait le piratage de n’importe quel compte
Force brute
Le 09 mars 2016 à 16h45
3 min
Internet
Internet
Un hacker indien a trouvé récemment une faille dans la version web de Facebook. Elle aurait pu permettre à n’importe quel compte d’être piraté. La société, avertie fin février, a depuis corrigé la vulnérabilité, permettant à l’auteur de la découverte, Anand Prakash, d’en publier les détails.
Anand Prakash est un chercheur en sécurité résidant en Inde. Dans un billet publié hier, il explique avoir découvert une « vulnérabilité simple » qui lui a permis de tester le piratage d’un compte Facebook. La technique lui ouvrait alors toutes les portes du réseau social, l’autorisant à publier des statuts, lire les messages privés, accéder aux paiements lorsque le cas se présentait et ainsi de suite. En clair, tout ce qu’un compte Facebook peut permettre.
Un processus de changement du mot de passe...
La faille de sécurité résidait dans la procédure qui permet de déclarer une perte du mot de passe, donc sa réinitialisation. Plus précisément, il existe un problème dans la manière dont Facebook traite ces requêtes. Le réseau social demande une confirmation de ces dernières à l’utilisateur en lui réclamant un code à six chiffres qui est envoyé soit dans l’application mobile, soit par SMS, soit par email.
Facebook permet dix tentatives pour ce code, avant de bloquer complètement le compte, laissant l’utilisateur face à une procédure plus complexe de récupération. Cette limite se retrouve dans de nombreux services puisqu’elle permet de bloquer les attaques par force brute, quand le pirate essaie de deviner le bon code en tentant toutes les combinaisons. C’est précisément, par exemple, ce qu’essaye de faire le FBI avec l’iPhone 5c récupéré dans le cadre de l’enquête sur la fusillade de San Bernardino.
... vulnérable aux attaques par force brute
Seulement voilà, si le site officiel dispose bien de cette barrière, ce n’était pas le cas de deux adresses permettant de tester les préversions du service : beta.facebook.com et mbasic.beta.facebook.com. Sur les deux sites, Anand Prakash a pu lancer des attaques par force brute contre le code à six chiffres, avec succès à chaque fois. Un oubli clairement crucial, dont le chercheur a averti Facebook le 22 février dernier, dans le cadre du programme de chasse aux bugs de l’éditeur. Les détails n’ont pas été dévoilés publiquement avant que l’entreprise n’ait corrigé le tir.
Le chercheur a été récompensé de 15 000 dollars par Facebook, toujours dans le cadre de son programme de sécurité. En plus des explications fournies sur son blog, Anand Prakash a publié une vidéo de démonstration.
Facebook : une faille permettait le piratage de n’importe quel compte
-
Un processus de changement du mot de passe...
-
... vulnérable aux attaques par force brute
Commentaires (44)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 10/03/2016 à 10h59
Le 10/03/2016 à 14h31
Les comptes user de la prod sont ceux également utilisés pour la dev. Surprenant ? " />
Le 10/03/2016 à 15h29
" />
Le 10/03/2016 à 15h49
Le 10/03/2016 à 18h58
Le 10/03/2016 à 20h17
Le 09/03/2016 à 16h53
ça n’a peut-être été déclaré que récemment. ^^
Le 09/03/2016 à 17h20
ben le truc c’est que la beta est un truc de “dev” avec plein de bug dedans (le but de la beta c’est justement de les trouver) sauf que comme on tape dans les même bases clients ca fait cette effet la
Le 09/03/2016 à 17h58
Le 09/03/2016 à 18h11
Ils ont dû trouver un autre moyen pour l’annoncer.
Le 09/03/2016 à 18h33
C’est assez dingue d’avoir un soft en beta qui exploite les mêmes données que la prod, ça n’a même aucun sens tant les solutions sont nombreuses pour l’éviter.
Au delà de ça c’est typiquement le genre de cas sur lequel ont est sensé écrire un test, ce niveau d’amateurisme est assez impressionnant pour une entreprise de cette taille, d’autant plus qu’il s’agit de leur cœur de métier.
Le 09/03/2016 à 18h47
Le 09/03/2016 à 19h16
Il n’est pas né le gus qui pourra craquer mon compte facebook ! " />
Le 09/03/2016 à 19h16
Purée, tu fais la même dans une “vraie” boîte d’industrie, tu te fais taper très fort sur les doigts.
Le 09/03/2016 à 19h40
La c’est le moment où tu te dit que t’aurai pu la trouver tout seul et t’offrir des supers vacances sigh
Le 09/03/2016 à 19h43
BURP
Le 09/03/2016 à 20h04
15000$ pour ça, franchement… ça vaut carrément le coup d’essayer de pirater ^^
Le 09/03/2016 à 20h18
Plus maintenant. Je viens de t’en créer un.
Le 09/03/2016 à 20h32
Le 09/03/2016 à 21h23
“Anand Prakash a pu lancer des attaques par force brute contre le code à six chiffres, avec succès à chaque fois.“Tu m’etonnes, ça doit se trouver en 20sec… C’est quand meme ouf de se dire quand rajoutant une protection (l’envoi d’une verif par sms) facebook a en realité vulnérabilisé l’acces aux compte de personnes qui se sentaient intouchable parce qu’elles avaient un mot de passe fort… " />
Le 09/03/2016 à 22h32
C’est abusé que FB lâche uniquement 15000$ quand le préjudice aurait pu atteindre des millions surtout… Business is business, le con dans l’histoire c’est le trouveur qui aurait du revendre à un autre parti que FB en fait.
Le 09/03/2016 à 22h42
Seulement voilà, si le site officiel dispose bien de cette barrière, ce n’était pas le cas de deux adresses permettant de tester les préversions du service : beta.facebook.com et mbasic.beta.facebook.com.
Bon… Je pourrais faire une remarque caustique sur la difficulté de différencier le site officiel de la beta, mais vraiment ce serait comme tirer sur une ambulance.
Le 09/03/2016 à 22h58
Un hacker indien a trouvé récemment une faille dans la version web de Facebook.
Heu… c’est moi ou bien ? Facebook existe autre part que sur le web ?" />
Le 09/03/2016 à 23h12
Les applications pour mobile sans doute.
Le 09/03/2016 à 23h56
Le 09/03/2016 à 23h57
Le 09/03/2016 à 23h58
burp suite plus exactement. testez beef il est encore plus croustillant …..
Le 10/03/2016 à 00h04
Un code à 4 chiffres, c’est une faille en lui-même. Ils se foutent de notre gueule. Il faut au minimum 10 caractères, et avec chiffres et lettres.
Le 10/03/2016 à 00h05
Pas besoin d’outil pour ça, c’est un code à 6 chiffres. En Python :
>>> import itertools
>>> list(itertools.permutations(range(10), 6))
Et voilà.
Le 10/03/2016 à 05h01
Le 10/03/2016 à 06h43
Le 10/03/2016 à 07h37
Le 10/03/2016 à 07h39
Le 10/03/2016 à 08h12
Le monde n’est pas aussi vilain que tu ne le crois tu sais.
Les gens bons existent encore, les jambons aussi d’ailleurs.
Le 10/03/2016 à 08h13
Le 10/03/2016 à 08h30
Sauf que c’est pas légal et que cela lui permet d’avoir une bonne visibilité au niveau pro.
Au moins ce système de récompenses a le mérite d’exister, je crois pas que les services francais en font autant.
Le 10/03/2016 à 08h33
Et donc maintenant ledit gus c’est toi-même, pour en récupérer l’accès et le supprimer " />
Le 10/03/2016 à 08h34
Le 10/03/2016 à 08h39
Le 10/03/2016 à 08h42
Le 10/03/2016 à 08h52
Suffisamment trivial pour être réalisé en quelques minutes avec un shell script et du curl mais n’importe quel langage permettra de le faire.
Le 10/03/2016 à 10h25
Le 10/03/2016 à 10h51
Le 10/03/2016 à 10h56