C’est une faille de sécurité qui aurait pu causer beaucoup de tort aux membres de Facebook, si elle avait été exploitée à grande échelle. Heureusement, son existence est passée très largement inaperçue pour bon nombre d’internautes, épargnant ainsi au réseau social une controverse sur la sécurité de son service.
En début de semaine, un expert en sécurité informatique indien a en effet levé le voile sur la brèche en question. Concrètement, cette vulnérabilité permettait de remettre à zéro n’importe quel mot de passe sur le site communautaire, en effectuant quelques étapes relativement simples.
Provoquer la réinitialisation du mot de passe
Dans les faits, le chercheur a exploité la procédure de réinitialisation du mot de passe, qui consiste à obtenir par e-mail ou par SMS un code à six chiffres. Une fois en poche, celui-ci doit ensuite être inscrit sur Facebook, qui lui proposera alors de créer un nouveau mot de passe pour accéder au compte.
Bien sûr, Facebook a eu la présence d’esprit de verrouiller cette phase en limitant le nombre de tentatives pour renseigner le bon code. La raison ? Cette mesure vise à empêcher une personne mal intentionnée de procéder par force brute, c’est-à-dire en testant toutes les combinaisons jusqu’à trouver le bon code.
Le problème, c’est que cette protection n’était pas en vigueur sur d’autres adresses du réseau social (beta.facebook.com et mbasic.beta.facebook.com). En exploitant la remise à zéro du mot de passe via ces sites, il était possible de contourner ce dispositif. Il ne restait plus qu’à utiliser un logiciel de force brute et le tour était joué.
Naturellement, la faille est maintenant de l’histoire ancienne. Le chercheur de sécurité en informatique a signalé le problème à Facebook et lui a laissé le temps de le résoudre avant d’en parler sur son blog. Pour son aide, Facebook a décidé de verser une récompense de 15 000 dollars à l’expert.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !