Une vulnérabilité dans la procédure de récupération de compte Facebook permettait aux pirates d’accéder aux comptes des utilisateurs.
Pirater Facebook est l’une des requêtes les plus recherchées sur Google, car un grand nombre de comptes Facebook ont de la valeur. Tant et si bien que les chercheurs en sécurité passent beaucoup de temps à repérer les vulnérabilités sur le réseau social. C’est par exemple le cas d’Anand Prakash, un hacker indien, qui a décroché le jackpot en découvrant une faille critique qui permettait d’accéder aux comptes des utilisateurs.
La vulnérabilité que Prakash a trouvé ne se trouve pas directement sur la plate-forme mais sur un serveur « beta » qui gère les requêtes en cas de mot de passe oublié. Normalement, lorsque vous oubliez votre mot de passe, Facebook vous donne une chance d’accéder à votre compte en utilisant un code à 6 chiffres envoyé par SMS ou par email. Après avoir entré ce code sur une page spéciale, vous pouvez alors retrouver votre compte et réinitialiser votre mot de passe.
C’est cette procédure que Prakash a décidé de tester. Il a d’abord essayé sur le réseau social en lui même via la page «Mot de passe oublié». Le hacker a réalisé une attaque par force brute pour trouver le code à 6 chiffres mais depuis la mise en place d’une limite de 12 tentatives par Facebook, l’opération s’est soldée par un échec.
Il s’est alors tourné vers les pages bêta de Facebook, beta.facebook.com et mbasic.beta.facebook.com et a constaté que la limite fixée pour le nombre de tentative avait été oubliée sur ces deux pages. Après avoir remarqué qu’il n’y avait pas de limitation, il a pu alors deviner le code par force brute en toute tranquillité.
Prakash a signalé la vulnérabilité à l’équipe de sécurité Facebook le 22 février 2016. Facebook a immédiatement reconnu la gravité de cette faille et a publié un correctif le 23 février. Le réseau social a également décerné une récompense de 15.000 $ à Prakash pour avoir alerté la plate-forme.
