Connexion
Abonnez-vous

Facebook : une faille permettait le piratage de n’importe quel compte

Force brute

Facebook : une faille permettait le piratage de n'importe quel compte

Le 09 mars 2016 à 16h45

Un hacker indien a trouvé récemment une faille dans la version web de Facebook. Elle aurait pu permettre à n’importe quel compte d’être piraté. La société, avertie fin février, a depuis corrigé la vulnérabilité, permettant à l’auteur de la découverte, Anand Prakash, d’en publier les détails.

Anand Prakash est un chercheur en sécurité résidant en Inde. Dans un billet publié hier, il explique avoir découvert une « vulnérabilité simple » qui lui a permis de tester le piratage d’un compte Facebook. La technique lui ouvrait alors toutes les portes du réseau social, l’autorisant à publier des statuts, lire les messages privés, accéder aux paiements lorsque le cas se présentait et ainsi de suite. En clair, tout ce qu’un compte Facebook peut permettre.

Un processus de changement du mot de passe...

La faille de sécurité résidait dans la procédure qui permet de déclarer une perte du mot de passe, donc sa réinitialisation. Plus précisément, il existe un problème dans la manière dont Facebook traite ces requêtes. Le réseau social demande une confirmation de ces dernières à l’utilisateur en lui réclamant un code à six chiffres qui est envoyé soit dans l’application mobile, soit par SMS, soit par email.

Facebook permet dix tentatives pour ce code, avant de bloquer complètement le compte, laissant l’utilisateur face à une procédure plus complexe de récupération. Cette limite se retrouve dans de nombreux services puisqu’elle permet de bloquer les attaques par force brute, quand le pirate essaie de deviner le bon code en tentant toutes les combinaisons. C’est précisément, par exemple, ce qu’essaye de faire le FBI avec l’iPhone 5c récupéré dans le cadre de l’enquête sur la fusillade de San Bernardino.

... vulnérable aux attaques par force brute

Seulement voilà, si le site officiel dispose bien de cette barrière, ce n’était pas le cas de deux adresses permettant de tester les préversions du service : beta.facebook.com et mbasic.beta.facebook.com. Sur les deux sites, Anand Prakash a pu lancer des attaques par force brute contre le code à six chiffres, avec succès à chaque fois. Un oubli clairement crucial, dont le chercheur a averti Facebook le 22 février dernier, dans le cadre du programme de chasse aux bugs de l’éditeur. Les détails n’ont pas été dévoilés publiquement avant que l’entreprise n’ait corrigé le tir.

Le chercheur a été récompensé de 15 000 dollars par Facebook, toujours dans le cadre de son programme de sécurité. En plus des explications fournies sur son blog, Anand Prakash a publié une vidéo de démonstration.

Commentaires (44)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







YesWeekEnd a écrit :



Les beta publiques qui tapent sur la prod, c’est un concept juste cradingue.

Et si c’est un impératif, il faut de la beta fléchée avec accès sous conditions.







Ca dépend des beta. Si c’est juste une nouvelle mise en page qui est testé (donc grosso modo la partie cliente) Il n’y a rien de dramatique à exploiter la base de prod.


votre avatar

Les comptes user de la prod sont ceux également utilisés pour la dev. Surprenant ? <img data-src=" />

votre avatar

<img data-src=" />

votre avatar







CryoGen a écrit :



Ca dépend des beta. Si c’est juste une nouvelle mise en page qui est testé (donc grosso modo la partie cliente) Il n’y a rien de dramatique à exploiter la base de prod.





Même du pur réarrangement cosmétique apporte son lot de merdes xss potentielles.


votre avatar







gokudomatic a écrit :



Plus maintenant. Je viens de t’en créer un.



Voici ma photo pour que le profil soit complet. <img data-src=" />





Patch a écrit :



En même temps pirater le compte de qqu’un qui n’a aucun ami, aucun intérêt <img data-src=" />



A l’âge que j’ai, si j’avais du attendre que fessebouc existe pour avoir des amis… <img data-src=" />





[_Driltan_ a écrit :



]Donc après, si t’as pas de compte, oui c’est sûr que t’es pépère. <img data-src=" />



<img data-src=" />





Loufute a écrit :



Et donc maintenant ledit gus c’est toi-même, pour en récupérer l’accès et le supprimer <img data-src=" />



Rien à battre, autre chose à foutre de mon temps que de courir après ce genre de connerie, suis plus solide dans ma tête que ces ados qui se suicident après s’être fait malmené sur ce réseau social. <img data-src=" />


votre avatar







Mithrill a écrit :



C’était une faille toute con en fait… je m’interroge sur le fait que ça n’ai pas été trouvé bien plus tôt depuis le temps…





Zukeberg se fout de la sécurité.

il le savait surement depuis longtemps.

il veut du pognon.

&nbsp;


votre avatar

ça n’a peut-être été déclaré que récemment. ^^

votre avatar

ben le truc c’est que la beta est un truc de “dev” avec plein de bug dedans (le but de la beta c’est justement de les trouver) sauf que comme on tape dans les même bases clients ca fait cette effet la

votre avatar







Mithrill a écrit :



C’est le cas, et heureusement pour FB.



&nbsp;





&nbsp;beta.facebook.com étant accessible depuis au moins 2012, si la faille&nbsp;était présente depuis le début ça fait un peu froid dans le dos tout de même.





Oui ça serait très très étrange que personne n’ai eu envie de tenter un petit brute force sur le site beta de facebook…


votre avatar

Ils ont dû trouver un autre moyen pour l’annoncer.

votre avatar

C’est assez dingue d’avoir un soft en beta qui exploite les mêmes données que la prod, ça n’a même aucun sens tant les solutions sont nombreuses pour l’éviter.



Au delà de ça c’est typiquement le genre de cas sur lequel ont est sensé écrire un test, ce niveau d’amateurisme est assez impressionnant pour une entreprise de cette taille, d’autant plus qu’il s’agit de leur cœur de métier.

votre avatar







Isshun a écrit :



C’est assez dingue d’avoir un soft en beta qui exploite les mêmes données que la prod,





C’est effectivement très très gros, d’autant plus pour une infra aussi grosse (avec les moyens qui vont avec) que celle de FB !



Le principe de séparation de la prod n’est pourtant pas une nouveauté…


votre avatar

Il n’est pas né le gus qui pourra craquer mon compte facebook ! <img data-src=" />

votre avatar

Purée, tu fais la même dans une “vraie” boîte d’industrie, tu te fais taper très fort sur les doigts.

votre avatar

La c’est le moment où tu te dit que t’aurai pu la trouver tout seul et t’offrir des supers vacances sigh

votre avatar

BURP

votre avatar

15000$ pour ça, franchement… ça vaut carrément le coup d’essayer de pirater ^^

votre avatar

Plus maintenant. Je viens de t’en créer un.

votre avatar







choukky a écrit :



Il n’est pas né le gus qui pourra craquer mon compte facebook ! <img data-src=" />



En même temps pirater le compte de qqu’un qui n’a aucun ami, aucun intérêt <img data-src=" />









gokudomatic a écrit :



Plus maintenant. Je viens de t’en créer un.



…CQFD <img data-src=" />


votre avatar

“Anand Prakash a pu lancer des attaques par force brute contre le code à six chiffres, avec succès à chaque fois.“Tu m’etonnes, ça doit se trouver en 20sec… C’est quand meme ouf de se dire quand rajoutant une protection (l’envoi d’une verif par sms) facebook a en realité&nbsp;vulnérabilisé&nbsp;l’acces aux compte de personnes qui se&nbsp;sentaient intouchable parce qu’elles avaient un mot de passe fort… <img data-src=" />

votre avatar

C’est abusé que FB lâche uniquement 15000$ quand le préjudice aurait pu atteindre des millions surtout… Business is business, le con dans l’histoire c’est le trouveur qui aurait du revendre à un autre parti que FB en fait.

votre avatar



Seulement voilà, si le site officiel dispose bien de cette barrière, ce n’était pas le cas de deux adresses permettant de tester les préversions du service : beta.facebook.com et mbasic.beta.facebook.com.





Bon… Je pourrais faire une remarque caustique sur la difficulté de différencier le site officiel de la beta, mais vraiment ce serait comme tirer sur une ambulance.

votre avatar



Un hacker indien a trouvé récemment une faille dans la version web de Facebook.



Heu… c’est moi ou bien ? Facebook existe autre part que sur le web ?<img data-src=" />

votre avatar

Les applications pour mobile sans doute.

votre avatar







vince2010091 a écrit :



BURP





exact et c vieux comme tout je l’utilisais déjà en 2011 dans mon cours sur le déploiement des pare-feux.


votre avatar







genialmaniac a écrit :



C’est abusé que FB lâche uniquement 15000$ quand le préjudice aurait pu atteindre des millions surtout… Business is business, le con dans l’histoire c’est le trouveur qui aurait du revendre à un autre parti que FB en fait.





comment souvent “L’Idiot utile” ….


votre avatar

burp suite plus exactement. testez beef il est encore plus croustillant …..

votre avatar

Un code à 4 chiffres, c’est une faille en lui-même. Ils se foutent de notre gueule. Il faut au minimum 10 caractères, et avec chiffres et lettres.

votre avatar

Pas besoin d’outil pour ça, c’est un code à 6 chiffres.&nbsp;En Python :



&gt;&gt;&gt; import itertools

&gt;&gt;&gt; list(itertools.permutations(range(10), 6))



Et voilà.

votre avatar







choukky a écrit :



Il n’est pas né le gus qui pourra craquer mon compte facebook ! <img data-src=" />





C’est ce que je pensais avec mon compte désactivé, dont le mot de passe était plutôt balaise, avant que je reçoive énormément de notifications d’ajout d’ “amis” par email et que je m’aperçoive qu’un américain l’utilisait, en version US avec mon nom, ma photo etc…pour vendre des T-shirts du superbowl sur un site qui pue le fake.

L’affaire est réglée quand j’ai trouvé comment supprimer définitivement cette merde. (le compte FB hein pas l’américain <img data-src=" /> )



Donc après, si t’as pas de compte, oui c’est sûr que t’es pépère. <img data-src=" />


votre avatar







Isshun a écrit :



C’est assez dingue d’avoir un soft en beta qui exploite les mêmes données que la prod, ça n’a même aucun sens tant les solutions sont nombreuses pour l’éviter.



Au delà de ça c’est typiquement le genre de cas sur lequel ont est sensé écrire un test, ce niveau d’amateurisme est assez impressionnant pour une entreprise de cette taille, d’autant plus qu’il s’agit de leur cœur de métier.





Et ça arrive tellement souvent.



Ce qui est rigolo aussi c’est de bosser avec des clients sur des environnements de test.Tu as beau leur dire que l’environnement de test n’est pas aussi sécurisé que l’environnement prod, ils sont quand même capable de t’ingérer des données de production. <img data-src=" />



Purée elle était facile j’aurais pu me payer de sacré vacances.



&nbsp;


votre avatar







[_Driltan_ a écrit :



L’affaire est réglée quand j’ai trouvé comment supprimer définitivement cette merde. (le compte FB hein pas l’américain <img data-src=" /> )



&nbsp;

&nbsp;Mais voilà aussi! Toujours des demi-mesures, ça y va doucement, ça hésite à assassiner des connards… Nan, franchement, avec une mentalité pareille, l’état de la france ne me surprend pas dutout. <img data-src=" />


votre avatar







Ricard a écrit :



Heu… c’est moi ou bien ? Facebook existe autre part que sur le web ?<img data-src=" />





J’osais pas faire la remarque.


votre avatar

Le monde n’est pas aussi vilain que tu ne le crois tu sais.



Les gens bons existent encore, les jambons aussi d’ailleurs.

votre avatar







Isshun a écrit :



C’est assez dingue d’avoir un soft en beta qui exploite les mêmes données que la prod, ça n’a même aucun sens tant les solutions sont nombreuses pour l’éviter.





C’est peut être dingue mais c’est surtout très courant.



Comment faire une base de test/qual cohérente avec la réalité? Bah suffit de prendre les données de prod, on ne peut pas faire plus réaliste comme jeu de tests…


votre avatar

Sauf que c’est pas légal et que cela lui permet d’avoir une bonne visibilité au niveau pro.

Au moins ce système de récompenses a le mérite d’exister, je crois pas que les services francais en font autant.

votre avatar

Et donc maintenant ledit gus c’est toi-même, pour en récupérer l’accès et le supprimer <img data-src=" />

votre avatar







Winderly a écrit :



J’osais pas faire la remarque.





Il n’y a pas d’application officiel ? Et puis il y a Messenger aussi.

La faille esr exploitable depuis la version “standard” si vous préférez.


votre avatar







CryoGen a écrit :



Il n’y a pas d’application officiel ? Et puis il y a Messenger aussi.

La faille esr exploitable depuis la version “standard” “accessible par navigateur” si vous préférez.





<img data-src=" />


votre avatar







Ulfr Sarr a écrit :



C’est peut être dingue mais c’est surtout très courant.



Comment faire une base de test/qual cohérente avec la réalité? Bah suffit de prendre les données de prod, on ne peut pas faire plus réaliste comme jeu de tests…







Surtout que Facebook est très certainement découpé en plusieurs modules avec des couches d’abstractions. Le site beta n’est surement que l’interface utilisateur qui attaque des API éprouvés en interne.


votre avatar

&nbsp; Suffisamment trivial pour être réalisé en quelques minutes&nbsp; avec un shell script et du curl mais n’importe quel langage permettra de le faire.

votre avatar







CryoGen a écrit :



Surtout que Facebook est très certainement découpé en plusieurs modules avec des couches d’abstractions. Le site beta n’est surement que l’interface utilisateur qui attaque des API éprouvés en interne.





Et dans ce cas bien sûr on laisse la beta dispo for any.


votre avatar







YesWeekEnd a écrit :



Et dans ce cas bien sûr on laisse la beta dispo for any.



Si la beta est publique oui.



Ce qui n’est pas normal, c’est la faille. Pas qu’un accès bêta permanent soit dispo.


votre avatar







CryoGen a écrit :



Si la beta est publique oui.



Ce qui n’est pas normal, c’est la faille. Pas qu’un accès bêta permanent soit dispo.





Les beta publiques qui tapent sur la prod, c’est un concept juste cradingue.

Et si c’est un impératif, il faut de la beta fléchée avec accès sous conditions.&nbsp; &nbsp;


Facebook : une faille permettait le piratage de n’importe quel compte

  • Un processus de changement du mot de passe...

  • ... vulnérable aux attaques par force brute

Fermer