Preben Ver Eecke, étudiant en informatique appliquée à la Hogeschool West-Vlaanderen, à récemment réussi à exposer une brèche dans les paramètres de confidentialité de Facebook. Le réseau social a reconnu le problème et a offert une récompense à l’étudiant.
L’étudiant en informatique appliquée a récemment découvert une faille dans le réseau social. Durant ses loisirs, il recherche assez souvent des points faibles sur de grands sites dans l’espoir d’une récompense. Un soir, il a jeté son dévolu sur Facebook. ‘Je n’en attendais rien. Nombreux sont ceux qui ont déjà tenté leur chance, sans succès. Mais ce soir-là, j’ai repéré un gros problème de confidentialité. Via cette faille, je suis parvenu à adapter les paramètres de confidentialité d’autres utilisateurs sans aucune interaction avec les comptes Facebook des… victimes.’ Chez quelqu’un, dont les ‘posts’ Facebook n’étaient visibles que par les amis, il a par exemple réussi à les rendre visibles par tout le monde.
Preben se considère lui-même comme un pirate éthique et n’a dès lors jamais eu l’intention d’abuser de sa découverte. Après quelques échanges de mail avec le Facebook Security Team, ce dernier a reconnu la faille dans la sécurité et l’a corrigée aussitôt.
Piratage éthique
‘La formation assurée par la Hogeschool West-Vlaanderen inclut une composante spéciale consacrée au cyber-crime, à la cyber-sécurité et au piratage éthique’, déclare Kurt Callewaert, professeur d’informatique appliquée, computer and cybercrime professional à la Hogeschool. ‘Il y a un besoin de piratage éthique, et Facebook permet ainsi de résoudre les brèches découvertes par des particuliers, mais en Belgique, c’est interdit’, ajoute Callewaert. ‘Nous ne sommes pas autorisés à contrôler la présence éventuelle de failles au niveau des sites web d’entreprises ou autres. Nous devons nous contenter d’examiner des possibilités générant une autorisation dans certains cas, comme par exemple la découverte de points faibles sur les sites web des pouvoirs publics.’
Si quelqu’un recherche de sa propre initiative des brèches sur tel ou tel site web, il risque de se voir infliger une solide amende. ‘Si un étudiant par exemple recherche sans autorisation des failles sur Datanews.be, il encourt une amende de 24.000 euros.’ Mais Facebook est une entreprise étrangère, qui est ravie lorsque quelqu’un tente de repérer des brèches dans le code de son site web. Ver Eecke a même été récompensé pour sa trouvaille.
Récompense
‘Le Facebook Security Team m’a remercié de deux manières: en me versant une somme d’argent, mais aussi en me reprenant sur ce qu’on appelle la ‘researcher white hat-list‘. Cette liste est une énumération de toutes les personnes qui ont aidé à améliorer Facebook. Elle est publiée à chaque lancement d’une version ultérieure. En tant que jeune pirate éthique, je suis évidemment très fier de figurer dans ce petit cercle très fermé’, conclut-il.
