Developpez.com

Le Club des Développeurs et IT Pro

Facebook : il pirate le compte de Mark Zuckerberg pour signaler une faille de sécurité

Et perd au passage sa récompense

Le 2013-08-19 15:14:23, par Cedric Chevalier, Expert éminent sénior
Aucun logiciel informatique n’est exempt de bogues et il n’existe pas de sécurité parfaite. Les grosses firmes informatiques comme Google ou encore Facebook dépensent des sommes importantes dans des programmes permettant aux hackers de révéler des vulnérabilités qu’ils auraient découvertes dans leurs produits.

Khalil Shreateh est le chercheur en sécurité d’origine palestinienne qui a découvert une vulnérabilité dans le célèbre réseau social, permettant à un hacker de poster des messages sur le mur privé de ses victimes sans pour autant être dans leur liste d’amis.

Le chercheur, plusieurs fois, a contacté les ingénieurs responsables de la sécurité de Facebook, sans succès. « Nous sommes désolés, mais ceci n’est pas un bogue », recevra-t-il comme réponse de ceux-ci.

Pour se faire entendre, il a dû poster, sur le mur privé de Mark Zuckerberg, un message dans lequel il présente la vulnérabilité et explique ses déboires avec l’équipe de sécurité.


Il finit par avoir gain de cause. La vulnérabilité a été corrigée. Cependant, Facebook refuse de l’indemniser parce qu’il n’aurait pas respecté les termes de la politique de divulgation des vulnérabilités de l’entreprise. Khalil aurait posté des messages sur des murs privés d’utilisateurs sans leurs permissions.

D’après Matt Jones, ingénieur en sécurité chez Facebook, pour divulguer une faille, il faut dans un premier temps avoir un compte de «white Hat» (chercheur en sécurité qui rend publiques les failles des logiciels) et ensuite pour le «Proof of Concept» (démonstration de la vulnérabilité), ne pas se servir de comptes réels d’utilisateurs sans leur permission.

Source : BBC

Et vous ?

Êtes-vous d'accord avec Facebook dans sa décision de ne pas rémunérer le chercheur ? Pourquoi ?
  Discussion forum
32 commentaires
  • pmithrandir
    Expert éminent
    Il les as méchamment vexé je pense...

    Ils sont plutôt stupide... pour économiser 10 000$, ils vont se priver de bonnes volontés dans le futur.

    Si je trouve un bug quelque part, je suis déjà bien gentil de passer du temps a le trouver, puis a le signaler...

    Faut pas en plus m’embêter avec des process qui me feront perdre du temps...
    le 19/08/2013 à 16:13
  • tontonnux
    Membre expérimenté
    Envoyé par Hinault Romaric
    Marc Maiffret, expert en sécurité et PDG de BeyondTrust, a lancé une campagne de collecte de fonds pub pour Shreateh BeyondTrust...
    le 21/08/2013 à 11:35
  • Traroth2
    Membre émérite
    Donc, si on résume, chez Facebook, si vous suivez la voie officielle pour rapporter une vulnérabilité, on vous envoie chier en vous disant que vous délirez, et si on vous imposez la réalité de la vulnérabilité aux yeux de tous de manière évidente, on vous envoie chier en disant que c'est pas bien. En gros, on vous envoie toujours chier si vous voulez rapporter une vulnérabilité, quoi...

    VAAACHEMENT intéressant, leur programme de récompense...

    Déjà que 500$, c'est pas lourd, mais si en plus c'est impossible de les toucher, en réalité, je ne vois pas pourquoi quelqu'un prendrait la peine de les aider...

    Concrètement, les reproches que lui fait Facebook aujourd'hui sont ridicules, en plus d'être franchement hypocrites : il n'a rien fait de bien grave, avec cette vulnérabilité. Je pense que le mot qu'ils cherchent est "merci"...
    le 20/08/2013 à 11:14
  • Paul TOTH
    Expert éminent sénior
    Envoyé par gangsoleil
    La recompense de Facebook, c'est $500, pas 10 000.

    Et sinon, la question est de savoir si, pour reveler une faille, tu as le droit d'utiliser des moyens illegaux (utilisation de comptes tierces dans ce cas). FB dit que non, lui dit que oui.

    C'est un debat vieux comme le monde, et ce n'est pas ce cas la qui va le resoudre.
    d'après qu'il a fait sur l'exploit je dirais que la faille consistait tout simplement à remplacer un champ caché dans le formulaire web. Ce qu'on peut faire avec n'importe quel navigateur digne de ce nom.

    il n'a pas à proprement parler utilisé un compte tierces, il a récupéré par l'API Facebook un ID qu'il a placé dans un formulaire web...

    d'ailleurs je viens de regarder dans une page FaceBook, le formulaire pour poster un commentaire (/ajax/updatestatus.php) contient bien l'ID (parent_fbid) de l'émetteur dans le champ "clp". Je suppose qu'ils avaient oublié dans le script de vérifier que l'auteur est bien celui qu'il prétend être.

    ça me rappelle le site web d'une société qui se disait spécialisée dans le développement web et qui propose des espaces de collaboration (il y a des années de cela)...quand j'ai vu que le champ "mot de passe" était de type "text" et non "password" ça m'a surpris...mais quand j'ai vu que l'url de la page était "compte.php?id=128", je me suis demandé ce que ça ferait de mettre 127 en id...et bingo je suis tombé sur le compte d'une autre personne avec son mot de passe en clair
    le 20/08/2013 à 19:56
  • ptah35
    Membre éclairé
    Une manière efficace de faire disparaître totalement une grosse tache blanche sur un chapeau noir... la prochaine fois, il trouvera certainement des gens prêts à reconnaître son travail à sa juste valeur, mais pas forcément pour le bien de tous...
    le 19/08/2013 à 16:34
  • ZIED
    Membre habitué
    Il les a surement vexé...
    En plus c'est un palestinien! Donc pourquoi le récompenser?? c'est déjà bien qu'il n'est pas mis en prison!!
    le 19/08/2013 à 16:59
  • minnesota
    Membre émérite
    Pour moi c'est ce qui pouvait lui arriver de mieux, le petit en recherche d'emploi vient de se faire un nom... une "annonce publicitaire" sans équivoque sur tous les médias du monde entier...

    Pour une fois que Facebook sert à quelque chose... En même temps ils peuvent se les garder leurs 500 malheureux euros, une promo comme ça vaut infiniment plus, infiniment plus...
    le 20/08/2013 à 13:56
  • transgohan
    Expert éminent
    Envoyé par tontonnux
    Fatallement, l'opérateur Facebook qui a voulu testé à eu droit un refus d'affichage... puisqu'il n'est pas amis avec Sarah Goodin, il ne peut pas voir son mur... donc pas le post en question.
    Un opérateur sans aucun droit sur le logiciel ? C'est comme un mécanicien sans outils pour réparer votre voiture...
    le 20/08/2013 à 8:29
  • Derf59
    Membre actif
    [MODE JOKE ON]
    En plus un "palestinien" qui pirate un compte d'une personne influente d'origine "juive", il cherche les problèmes, c'est pas la prison qu'il risque d'obtenir c'est une visite d'un missile ou du mossad LOL
    [MODE JOKE OFF]
    le 20/08/2013 à 9:58
  • tontonnux
    Membre expérimenté
    Envoyé par phili_b
    Oui mais le débat n'est pas que là. Mais "comment faire pour avertir quand l'entreprise est fermée comme une huitre et qu'on doit montrer patte blanche". Dans la vie réelle on peut informer qu'il y a un feu à une maison sans être pompier.

    Après il s'est fait un petit plaisir en piratant la page du pdg. Ce n'était pas méchant, il n'a rien cassé, mais comme il lui foutu la honte, hop banni. Pour les failles ultérieurs peut-être que les hackers sauront à quoi s'en tenir. En plus si c'est $500 il ne comptait peut-être même pas dessus.
    Facebook propose un lien qui permet de poster ce genre d'alerte. Il s'en est servi, non pas pour expliquer ce qu'il avait trouvé, mais pour dire qu'il avait trouvé quelque chose et qu'il s'en était servi.
    Si au lieu d'exploiter directement la faille sur le compte de quelqu'un, il avait décrit sa découverte en expliquant la procédure pour y parvenir, il n'y aurait eu aucun souci et il aurait eu sa "récompense".

    Découvrir une faille et l'exploiter sont deux choses distinctes.
    le 20/08/2013 à 10:19
  Poster une réponse