Et sans aucune action de la part de l’utilisateur ciblé…
C’est Anand Prakash, un blogueur Indien qui a découvert la faille il y a deux semaines et l’a signalée à Facebook. Après vérification, Facebook lui a offert 15 000 dollars en guise de récompense.
Description de la vulnérabilité
Anand explique sur son blog que la faille se situe au niveau de la page permettant de réinitialiser un mot de passe oublié :
Facebook envoie dès lors un code à 6 chiffres sur un numéro de téléphone ou une adresse e-mail associée au compte pour lequel on souhaite récupérer le mot de passe.
Après avoir essayé 10 à 12 fois de deviner le bon code en essayant des séries de chiffres différentes (attaque par force brute), Facebook a bloqué ses tentatives.
Le problème, c’est que la même page de réinitialisation à l’adresse beta.facebook.com et non pas facebook.com ne limitait pas les tentatives.
Explication technique
La requête vulnérable était la suivante :
POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.comlsd=AVoywo13&n=XXXXX
La paramètre « n » contenait le code à 6 chiffres (ici remplacé par des « X ») que l’on pouvait tester indéfiniment.
Démonstration de la vulnérabilité
Voici la vidéo de démonstration créée par l’auteur de la découverte :
ÉDIT : vidéo visiblement signalée et supprimée.
On voit Anand intercepter la requête sensible puis la relancer automatiquement, en incrémentant les numéros à chaque nouvelle requête.
Le bon code est trouvé en quelques minutes, il lui suffit de redéfinir le mot de passe du compte concerné (de son propre compte ici).
Anand a bien sûr utilisé son propre compte pour la démonstration, et a décidé de signaler la vulnérabilité plutôt que de se mettre à pirater tout le monde.
C’est ça le hacking éthique.
Il va également rejoindre les centaines d’autres hackers ayant contribué à la sécurité sur Facebook :
Et vous, pensez-vous que 15 000 dollars de récompense soit convenable pour ce type de vulnérabilité signalée ?
0 commentaires:
Enregistrer un commentaire