Aujourd’hui, nous allons parler d’un cas très rare, mais encore possible, à savoir le piratage d’un compte Facebook. En effet, une faille dans ce réseau social permet de pirater n’importe quel utilisateur, dont les célébrités.
Et si vous ne prenez pas des précautions pour y remédier, vous pourrez ainsi être confronté à d’importants vols de données personnelles. Un blogueur indien nommé, Anand Prakash a découvert cette faille et l’a immédiatement signalé au leader mondial des réseaux sociaux. Après avoir réalisé des vérifications, la plateforme sociale lui a offert la somme de 15 000 dollars en guise de récompense.
Comment se présente la vulnérabilité ?
Selon le blogueur, la vulnérabilité se situe particulièrement au niveau de la page qui permet de réinitialiser un mot de passe perdu (https://www.facebook.com/login/identify?ctx=recover&lwv=110). Ensuite, le réseau social transmet un code à six chiffres sur une adresse email ou un numéro de téléphone associé au compte de l’utilisateur qui désire récupérer le mot de passe.
Après avoir fait de nombreux essais et deviné le code exact en proposant des séries de différents chiffres, le réseau social a automatiquement bloqué les autres tentatives. Le souci se situe notamment au niveau de la réinitialisation, particulièrement à l’adresse beta.facebook.com et non pas à l’adresse facebook.com.
Quelques explications techniques !
La faille était POST/recover/as/code/http/1.1 Host : beta.facebook.com Isd=AVoywo13&n=XXXXX. D’ailleurs, la configuration « n » comprenait le code de réinitialisation à six chiffres, ici modifié par des X et qu’il est possible de tester indéfiniment.
Anand a d’ailleurs réussi à intercepter cette requête vulnérable puis la relancer automatiquement, en incrémentant les codes à chaque nouvelle requête. Il lui a fallu quelques minutes pour trouver le bon code. Notez que le blogueur a utilisé son compte pour réaliser cette démonstration. Après cette découverte, il a par la suite avisé Facebook de cette faille.