Facebook a eu la chance de croiser le chemin d’un hacker indien, car Anand Prakash a peut-être permis au réseau social de passer à côté d’une catastrophe planétaire. Ce hacker a découvert une vulnérabilité qui aurait permis a une personne malintentionnée de pirater les comptes Facebook de n’importe qui !
Un simple piratage par force brute était réalisable
Un pirate aurait pu utiliser un simple logiciel pour tester par force brute la combinaison à six chiffres nécessaires pour changer le mot de passe d’un compte Facebook. Beaucoup diront : “impossible, Facebook ne permet pas plus de 10 essais, avant de se bloquer”, sauf que…
Quand on veut obtenir son mot de passe, on fait une demande sur le site, puis le réseau social envoie un SMS à 6 chiffres sur le smartphone lié au compte, qu’il faut ensuite renseigner afin de pouvoir pénétrer sur la page permettant de changer son mot de passe. En théorie, c’est assez difficile à pirater, Facebook avait toutefois fait une petite erreur.
La limitation des 10 essais concernait la version classique du réseau social, mais il existe une autre version moins connue, qui a recours à des serveurs bêta. Il s’agit en réalité de la version destinée à tester de nouveaux services ou des fonctionnalités. C’est sur cette dernière que le hacker Anand Prakash a découvert que Facebook avait omis de mettre une limitation pour envoyer son code.
Cela signifie, qu’un pirate pouvait tout simplement lancer un programme pour tester toutes les possibilités d’un code à 6 chiffres et ainsi s’approprier le compte de n’importe quel utilisateur. Il est facile d’imaginer la zizanie qui aurait pu suivre, si un groupe de hackers s’était mis à exploiter cette faille pour changer tous les mots de passe des utilisateurs avec un bot, ou pour bloquer des comptes et demander des rançons, pour diffuser des messages, des publicités, des malwares, etc.
On peut donc dire un grand merci à Anand Prakash pour sa vigilance. Facebook a d’ailleurs remercié ce dernier, en lui signant un chèque de 15.000 dollars.
Dernière mise à jour le 20 août 2018