C’est une faille de sécurité qui aurait pu causer beaucoup de tort aux membres de Facebook, si elle avait été exploitée à grande échelle. Heureusement, son existence est passée très largement inaperçue pour bon nombre d’internautes, épargnant ainsi au réseau social une controverse sur la sécurité de son service.
En début de semaine, un expert en sécurité informatique indien a en effet levé le voile sur la brèche en question. Concrètement, cette vulnérabilité permettait de remettre à zéro n’importe quel mot de passe sur le site communautaire, en effectuant quelques étapes relativement simples.
Provoquer la réinitialisation du mot de passe
Dans les faits, le chercheur a exploité la procédure de réinitialisation du mot de passe, qui consiste à obtenir par e-mail ou par SMS un code à six chiffres. Une fois en poche, celui-ci doit ensuite être inscrit sur Facebook, qui lui proposera alors de créer un nouveau mot de passe pour accéder au compte.
Bien sûr, Facebook a eu la présence d’esprit de verrouiller cette phase en limitant le nombre de tentatives pour renseigner le bon code. La raison ? Cette mesure vise à empêcher une personne mal intentionnée de procéder par force brute, c’est-à-dire en testant toutes les combinaisons jusqu’à trouver le bon code.
Le problème, c’est que cette protection n’était pas en vigueur sur d’autres adresses du réseau social (beta.facebook.com et mbasic.beta.facebook.com). En exploitant la remise à zéro du mot de passe via ces sites, il était possible de contourner ce dispositif. Il ne restait plus qu’à utiliser un logiciel de force brute et le tour était joué.
Naturellement, la faille est maintenant de l’histoire ancienne. Le chercheur de sécurité en informatique a signalé le problème à Facebook et lui a laissé le temps de le résoudre avant d’en parler sur son blog. Pour son aide, Facebook a décidé de verser une récompense de 15 000 dollars à l’expert.
Le futur de Numerama arrive bientôt ! Mais avant ça, on a besoin de vous. Vous avez 3 minutes ? Répondez à notre enquête