Facebook : il pirate le compte de Mark Zuckerberg pour signaler une faille de sécurité
Et perd au passage sa récompense

Le , par Cedric Chevalier

63PARTAGES

16  0 
Aucun logiciel informatique n’est exempt de bogues et il n’existe pas de sécurité parfaite. Les grosses firmes informatiques comme Google ou encore Facebook dépensent des sommes importantes dans des programmes permettant aux hackers de révéler des vulnérabilités qu’ils auraient découvertes dans leurs produits.

Khalil Shreateh est le chercheur en sécurité d’origine palestinienne qui a découvert une vulnérabilité dans le célèbre réseau social, permettant à un hacker de poster des messages sur le mur privé de ses victimes sans pour autant être dans leur liste d’amis.

Le chercheur, plusieurs fois, a contacté les ingénieurs responsables de la sécurité de Facebook, sans succès. « Nous sommes désolés, mais ceci n’est pas un bogue », recevra-t-il comme réponse de ceux-ci.

Pour se faire entendre, il a dû poster, sur le mur privé de Mark Zuckerberg, un message dans lequel il présente la vulnérabilité et explique ses déboires avec l’équipe de sécurité.


Il finit par avoir gain de cause. La vulnérabilité a été corrigée. Cependant, Facebook refuse de l’indemniser parce qu’il n’aurait pas respecté les termes de la politique de divulgation des vulnérabilités de l’entreprise. Khalil aurait posté des messages sur des murs privés d’utilisateurs sans leurs permissions.

D’après Matt Jones, ingénieur en sécurité chez Facebook, pour divulguer une faille, il faut dans un premier temps avoir un compte de «white Hat» (chercheur en sécurité qui rend publiques les failles des logiciels) et ensuite pour le «Proof of Concept» (démonstration de la vulnérabilité), ne pas se servir de comptes réels d’utilisateurs sans leur permission.

Source : BBC

Et vous ?

Êtes-vous d'accord avec Facebook dans sa décision de ne pas rémunérer le chercheur ? Pourquoi ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de pmithrandir
Expert confirmé https://www.developpez.com
Le 19/08/2013 à 16:13
Il les as méchamment vexé je pense...

Ils sont plutôt stupide... pour économiser 10 000$, ils vont se priver de bonnes volontés dans le futur.

Si je trouve un bug quelque part, je suis déjà bien gentil de passer du temps a le trouver, puis a le signaler...

Faut pas en plus m’embêter avec des process qui me feront perdre du temps...
22  1 
Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 21/08/2013 à 11:35
Citation Envoyé par Hinault Romaric Voir le message
Marc Maiffret, expert en sécurité et PDG de BeyondTrust, a lancé une campagne de collecte de fonds pub pour Shreateh BeyondTrust...
15  2 
Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 20/08/2013 à 11:14
Donc, si on résume, chez Facebook, si vous suivez la voie officielle pour rapporter une vulnérabilité, on vous envoie chier en vous disant que vous délirez, et si on vous imposez la réalité de la vulnérabilité aux yeux de tous de manière évidente, on vous envoie chier en disant que c'est pas bien. En gros, on vous envoie toujours chier si vous voulez rapporter une vulnérabilité, quoi...

VAAACHEMENT intéressant, leur programme de récompense...

Déjà que 500$, c'est pas lourd, mais si en plus c'est impossible de les toucher, en réalité, je ne vois pas pourquoi quelqu'un prendrait la peine de les aider...

Concrètement, les reproches que lui fait Facebook aujourd'hui sont ridicules, en plus d'être franchement hypocrites : il n'a rien fait de bien grave, avec cette vulnérabilité. Je pense que le mot qu'ils cherchent est "merci"...
11  4 
Avatar de Paul TOTH
Expert éminent sénior https://www.developpez.com
Le 20/08/2013 à 19:56
Citation Envoyé par gangsoleil Voir le message
La recompense de Facebook, c'est $500, pas 10 000.

Et sinon, la question est de savoir si, pour reveler une faille, tu as le droit d'utiliser des moyens illegaux (utilisation de comptes tierces dans ce cas). FB dit que non, lui dit que oui.

C'est un debat vieux comme le monde, et ce n'est pas ce cas la qui va le resoudre.
d'après qu'il a fait sur l'exploit je dirais que la faille consistait tout simplement à remplacer un champ caché dans le formulaire web. Ce qu'on peut faire avec n'importe quel navigateur digne de ce nom.

il n'a pas à proprement parler utilisé un compte tierces, il a récupéré par l'API Facebook un ID qu'il a placé dans un formulaire web...

d'ailleurs je viens de regarder dans une page FaceBook, le formulaire pour poster un commentaire (/ajax/updatestatus.php) contient bien l'ID (parent_fbid) de l'émetteur dans le champ "clp". Je suppose qu'ils avaient oublié dans le script de vérifier que l'auteur est bien celui qu'il prétend être.

ça me rappelle le site web d'une société qui se disait spécialisée dans le développement web et qui propose des espaces de collaboration (il y a des années de cela)...quand j'ai vu que le champ "mot de passe" était de type "text" et non "password" ça m'a surpris...mais quand j'ai vu que l'url de la page était "compte.php?id=128", je me suis demandé ce que ça ferait de mettre 127 en id...et bingo je suis tombé sur le compte d'une autre personne avec son mot de passe en clair
6  0 
Avatar de ptah35
Membre éclairé https://www.developpez.com
Le 19/08/2013 à 16:34
Une manière efficace de faire disparaître totalement une grosse tache blanche sur un chapeau noir... la prochaine fois, il trouvera certainement des gens prêts à reconnaître son travail à sa juste valeur, mais pas forcément pour le bien de tous...
5  0 
Avatar de ZIED
Membre habitué https://www.developpez.com
Le 19/08/2013 à 16:59
Il les a surement vexé...
En plus c'est un palestinien! Donc pourquoi le récompenser?? c'est déjà bien qu'il n'est pas mis en prison!!
7  3 
Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 20/08/2013 à 10:19
Citation Envoyé par phili_b Voir le message
Oui mais le débat n'est pas que là. Mais "comment faire pour avertir quand l'entreprise est fermée comme une huitre et qu'on doit montrer patte blanche". Dans la vie réelle on peut informer qu'il y a un feu à une maison sans être pompier.

Après il s'est fait un petit plaisir en piratant la page du pdg. Ce n'était pas méchant, il n'a rien cassé, mais comme il lui foutu la honte, hop banni. Pour les failles ultérieurs peut-être que les hackers sauront à quoi s'en tenir. En plus si c'est $500 il ne comptait peut-être même pas dessus.
Facebook propose un lien qui permet de poster ce genre d'alerte. Il s'en est servi, non pas pour expliquer ce qu'il avait trouvé, mais pour dire qu'il avait trouvé quelque chose et qu'il s'en était servi.
Si au lieu d'exploiter directement la faille sur le compte de quelqu'un, il avait décrit sa découverte en expliquant la procédure pour y parvenir, il n'y aurait eu aucun souci et il aurait eu sa "récompense".

Découvrir une faille et l'exploiter sont deux choses distinctes.
7  3 
Avatar de minnesota
Membre émérite https://www.developpez.com
Le 20/08/2013 à 13:56
Pour moi c'est ce qui pouvait lui arriver de mieux, le petit en recherche d'emploi vient de se faire un nom... une "annonce publicitaire" sans équivoque sur tous les médias du monde entier...

Pour une fois que Facebook sert à quelque chose... En même temps ils peuvent se les garder leurs 500 malheureux euros, une promo comme ça vaut infiniment plus, infiniment plus...
4  0 
Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 20/08/2013 à 9:40
Citation Envoyé par transgohan Voir le message
Un opérateur sans aucun droit sur le logiciel ? C'est comme un mécanicien sans outils pour réparer votre voiture...
Ma phrase n'était qu'une reprise de sa propre explication.

Sinon de façon plus large, un opérateur avec tout les droits, jamais de la vie !
Si une opération nécessite un certain niveau de droit, alors il n'est pas question de laisser "n'importe qui" faire ce qu'il veut.
Pour une structure et un site de l'importance de Facebook, je ne serais pas du tout étonné que les premiers à voir ces notifications n'ont qu'un périmètre de responsabilité réduit (et donc les limitations en droit qui vont avec). Ils devraient en fait servir de "filtre" pour router les demandes reconnues comme valides vers les personnes compétentes pour ne pas les polluer.
3  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 20/08/2013 à 9:41
Citation Envoyé par MacDev Voir le message
JMais il y a encore la possibilité de la corriger en choisissant d'octroyer la recompense à notre chercheur pour le labeur qu'il y a mis. Au lieu de 10000$ on peut faire 7000$ par exemple.
La recompense de Facebook, c'est $500, pas 10 000.

Et sinon, la question est de savoir si, pour reveler une faille, tu as le droit d'utiliser des moyens illegaux (utilisation de comptes tierces dans ce cas). FB dit que non, lui dit que oui.

C'est un debat vieux comme le monde, et ce n'est pas ce cas la qui va le resoudre.
3  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web