Facebook : il pirate le compte de Mark Zuckerberg pour signaler une faille de sécurité
Et perd au passage sa récompense

Le , par Cedric Chevalier, Expert éminent sénior
Aucun logiciel informatique n’est exempt de bogues et il n’existe pas de sécurité parfaite. Les grosses firmes informatiques comme Google ou encore Facebook dépensent des sommes importantes dans des programmes permettant aux hackers de révéler des vulnérabilités qu’ils auraient découvertes dans leurs produits.

Khalil Shreateh est le chercheur en sécurité d’origine palestinienne qui a découvert une vulnérabilité dans le célèbre réseau social, permettant à un hacker de poster des messages sur le mur privé de ses victimes sans pour autant être dans leur liste d’amis.

Le chercheur, plusieurs fois, a contacté les ingénieurs responsables de la sécurité de Facebook, sans succès. « Nous sommes désolés, mais ceci n’est pas un bogue », recevra-t-il comme réponse de ceux-ci.

Pour se faire entendre, il a dû poster, sur le mur privé de Mark Zuckerberg, un message dans lequel il présente la vulnérabilité et explique ses déboires avec l’équipe de sécurité.


Il finit par avoir gain de cause. La vulnérabilité a été corrigée. Cependant, Facebook refuse de l’indemniser parce qu’il n’aurait pas respecté les termes de la politique de divulgation des vulnérabilités de l’entreprise. Khalil aurait posté des messages sur des murs privés d’utilisateurs sans leurs permissions.

D’après Matt Jones, ingénieur en sécurité chez Facebook, pour divulguer une faille, il faut dans un premier temps avoir un compte de «white Hat» (chercheur en sécurité qui rend publiques les failles des logiciels) et ensuite pour le «Proof of Concept» (démonstration de la vulnérabilité), ne pas se servir de comptes réels d’utilisateurs sans leur permission.

Source : BBC

Et vous ?

Êtes-vous d'accord avec Facebook dans sa décision de ne pas rémunérer le chercheur ? Pourquoi ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de pmithrandir pmithrandir - Membre expert http://www.developpez.com
le 19/08/2013 à 16:13
Il les as méchamment vexé je pense...

Ils sont plutôt stupide... pour économiser 10 000$, ils vont se priver de bonnes volontés dans le futur.

Si je trouve un bug quelque part, je suis déjà bien gentil de passer du temps a le trouver, puis a le signaler...

Faut pas en plus m’embêter avec des process qui me feront perdre du temps...
Avatar de ptah35 ptah35 - Membre éclairé http://www.developpez.com
le 19/08/2013 à 16:34
Une manière efficace de faire disparaître totalement une grosse tache blanche sur un chapeau noir... la prochaine fois, il trouvera certainement des gens prêts à reconnaître son travail à sa juste valeur, mais pas forcément pour le bien de tous...
Avatar de ZIED ZIED - Membre habitué http://www.developpez.com
le 19/08/2013 à 16:59
Il les a surement vexé...
En plus c'est un palestinien! Donc pourquoi le récompenser?? c'est déjà bien qu'il n'est pas mis en prison!!
Avatar de grim7reaper grim7reaper - Membre éclairé http://www.developpez.com
le 19/08/2013 à 17:08
Citation Envoyé par Cedric Chevalier  Voir le message
Google ou encore Facebook dépensent des sommes importantes dans des programmes permettant aux hackers de révéler des vulnérabilités qu’ils auraient découvert dans leurs produits.

Google je veux bien.
Mais Facebook, non : 500$
As long as the bugs qualify under Facebook's whitehat terms and conditions, researchers can expect a reward of $500 or more.

Bon, ce n’est que le minimum mais ça ne vole pas très haut comparé à Google par exemple…
Avatar de hn2k5 hn2k5 - Membre éclairé http://www.developpez.com
le 19/08/2013 à 17:30
"CEO, bitch !"
Avatar de - http://www.developpez.com
le 19/08/2013 à 17:38
Je trouve ça très petit de la part de facebook ... mais ça m'étonne pas ...
J'aurais été le palestinien, je l'aurais joué différemment. Je les aurais prévenu d'une faille très importante sans préciser laquelle. Soit il accepte de payer, soit l'information sera diffusée à d'autres hackers moins gentil. C'est peut être pas légal mais ça doit marcher, surtout si tu leur laisse très peu de temps pour réagir.
Avatar de tontonnux tontonnux - Membre expérimenté http://www.developpez.com
le 19/08/2013 à 21:29
Attention, bémole.

Si je comprend bien ce qui est précisé ici (visiblement le propre blog de Khalil Shreateh), voilà comme il pourrait avoir contacté Facebook au début:

(attention, la traduction est très - vraiment très - cavalière)
Bonjour,

J'ai un diplôme tout beau en système informatique.

J'aimerai reporter un bug sur votre site (facebook.com) que j'ai découvert.
Le bug permet à un utilisateur de partager des liens avec d'autres utilisateurs facebook. J'ai testé sur le mur de sarah goodin et j'ai réussi à mettre un post.

link - > https://www.facebook.com/10151857333098885

Fatallement, l'opérateur Facebook qui a voulu testé à eu droit un refus d'affichage... puisqu'il n'est pas amis avec Sarah Goodin, il ne peut pas voir son mur... donc pas le post en question.

Alors, oui on peut se dire que le gas de Facebook aurait pu mieux fouiller (mais faut mettre le nombre de requêtes qu'ils reçoivent dans la balance).

Ensuite, comme Facebook lui a répondu qu'il ne trouvait pas de bug... il a fait pareil sur le mur de Zuckerberg. Évidemment, pas besoin d'opérateur, Zuckerberg a pu s'en apercevoir tout seul.

Finalement, il a bel est bien corrompu deux véritables comptes pour alerter Facebook. Il ne leur a jamais donné de précision sur la nature du problème, pas de proof of concept facilement vérifiable...

Qu'aurait pu faire Facebook après tout ça ? Le récompenser ? Récompenser quelqu'un qui alerte d'une faille en l'exploitant ?

Personnellement, je n'ai d'avis définitf sur la question, mais j'ai l'impression que l'histoire est plus grise que blanche ou noire.
Avatar de GTSLASH GTSLASH - Inactif http://www.developpez.com
le 19/08/2013 à 23:23
Citation Envoyé par ZIED  Voir le message
Il les a surement vexé...
En plus c'est un palestinien! Donc pourquoi le récompenser?? c'est déjà bien qu'il n'est pas mis en prison!!

Vraiment ?? C'est bien frequenté developpez.com a ce que je vois
Avatar de Muchos Muchos - Membre expert http://www.developpez.com
le 20/08/2013 à 3:44
@GTSLASH: C'est de l'ironie
Avatar de jmebula jmebula - Nouveau Candidat au Club http://www.developpez.com
le 20/08/2013 à 5:04
malgres tout! il merite ce qu'il reclame, sinon facebook manquerra plus concernant des informations du genre!!! ou soit facebook se sent umilier apres que Marck Z. ai eté piraté
Offres d'emploi IT
Architecte fonctionnel et applicatif (H/F)
Société Générale - Ile de France - Val-de-Marne
Chargé(e) de mission au CERT Société Générale (H/F)
Société Générale - Ile de France - Val-de-Marne
Ingénieur sénior en développement mobile / projet innovation H/F
Safran - Ile de France - Hauts de Seine

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil