Facebook corrige une faille qui permettait de pirater les comptes
C'est une faille de sécurité qui aurait pu causer beaucoup de tort aux membres de Facebook, si elle avait été exploitée à grande échelle.
En début de semaine, un expert en sécurité informatique indien a en effet levé le voile sur la brèche en question. Concrètement, cette vulnérabilité permettait de remettre à zéro n'importe quel mot de passe sur le site communautaire, en effectuant quelques étapes relativement simples.
Dans les faits, le chercheur a exploité la procédure de réinitialisation du mot de passe, qui consiste à obtenir par e-mail ou par SMS un code à six chiffres. Une fois en poche, celui-ci doit ensuite être inscrit sur Facebook, qui lui proposera alors de créer un nouveau mot de passe pour accéder au compte.
Bien sûr, Facebook a eu la présence d'esprit de verrouiller cette phase en limitant le nombre de tentatives pour renseigner le bon code. La raison ? Cette mesure vise à empêcher une personne mal intentionnée de procéder par force brute, c'est-à-dire en testant toutes les combinaisons jusqu'à trouver le bon code.
Le problème, c'est que cette protection n'était pas en vigueur sur d'autres adresses du réseau social (beta.facebook.com et mbasic.beta.facebook.com). En exploitant la remise à zéro du mot de passe via ces sites, il était possible de contourner ce dispositif. Il ne restait plus qu'à utiliser un logiciel de force brute et le tour était joué.
Naturellement, la faille est maintenant de l'histoire ancienne. Le chercheur de sécurité en informatique a signalé le problème à Facebook et lui a laissé le temps de le résoudre avant d'en parler sur son blog. Pour son aide, Facebook a décidé de verser une récompense de 15 000 dollars à l'expert.