Un chercheur en sécurité réussit à pirater tous les comptes Facebook
Un expert en sécurité a réussi à ‘craquer’ chaque compte Facebook, pour autant qu’il soit en possession d’une adresse e-mail ou d’un numéro de téléphone associé au compte. Facebook a entre-temps comblé la brèche et versé 15.000 dollars à l’expert en question.
Sur son blog, Anand Prakash évoque un bug au niveau de la réinitialisation des mots de passe chez le réseau social. Lorsque quelqu’un oublie son mot de passe et veut le réinitialiser, il peut saisir son adresse e-mail ou son numéro de téléphone, après quoi il reçoit un code à six chiffres lui permettant de re-paramétrer le mot de passe. Sur Facebook.com, ce procédé peut être répété 10 à 12 fois, selon Prakash.
Il a effectué la même tentative sur le site bêta de Facebook, où il a observé qu’il n’y avait ici aucune limite. Il a pu saisir le code aussi souvent qu’il le voulait, ce qui lui a permis, sur base d’un script, de l’entrer automatiquement à l’infini jusqu’à trouver le code correct. En guise de test, il a essayé sur son propre compte, et cela a marché.
Le 22 février, il informa Facebook de la brèche. Le bug fut résolu le lendemain. Pour le récompenser d’avoir découvert la faille et de l’avoir signalée, Facebook a versé 15.000 dollars (13.600 euros) à Prakash. A ce que l’on sache, le bug n’a pas été abusé.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici