Reginaldo Silva, chercheur brésilien en sécurité informatique, s’est vu attribuer une coquette somme par Facebook suite à la découverte d’une faille de sécurité, lui permettant de prendre contrôle d’un de ses serveurs et d’accéder à des données sensibles.
Le brésilien n’en est pas à son premier coup d’essai. Par le passé, il s’était déjà vu attribuer une prime minime de 500 dollars par Google. En effet, depuis 2012, ses travaux de recherche portent sur les vulnérabilités d’un protocole largement utilisé sur Internet, à savoir OpenID , plus spécifiquement sur le bug XML External Entity Expansion (XXE).
OpenID est utilisé entre autres par Facebook pour permettre à ses utilisateurs de recouvrir leur mot de passe. Pour cela, un serveur de la firme exécutant le service Yadis (Serveur Yadis) se connecte à un provider OpenID (Ex : Google) pour authentifier l’utilisateur.
C’est dans ce cadre qu’en septembre 2012, les travaux de Silva le conduisent à exploiter la faille XXE pour établir une connexion non autorisée, entre une machine dont il a le contrôle et le serveur Yadis, en se faisant passer pour un provider OpenID authentifié. Après avoir exploité la faille XXE avec succès, à sa grande surprise Silva découvre qu’il est en mesure d’accéder au mot de passe du fichier /etc/passwd, laissant la porte ouverte à une élévation de ses privilèges et au contrôle total du serveur Yadis.
Aussitôt, il notifie sa découverte à l’équipe de sécurité de Facebook et leur propose une démonstration, toutefois sa demande reste vaine et l’équipe en charge de la sécurité du réseau social publie un correctif dans les 3h30 qui suivent, puis il fut recontacté pour démontrer la démarche qui lui aurait permis de prendre le contrôle du serveur.
Vu l’ampleur de la brèche de sécurité et suite à la concertation des responsables, il a été décidé d’offrir une prime d’un montant de 35 000 dollars à Silva, soit la plus grosse prime payée par Facebook jusqu’à aujourd’hui.
Source : Blog du chercheur, Annonce de Facebook
Et vous ?
Qu’en pensez-vous ?
Estimez-vous que Facebook aurait dû donner une prime plus conséquente ?
Facebook offre une grosse prime à un chercheur
Qui a découvert une faille permettant de prendre le contrôle d'un de ses serveurs
Facebook offre une grosse prime à un chercheur
Qui a découvert une faille permettant de prendre le contrôle d'un de ses serveurs
Le , par Arsene Newman
Une erreur dans cette actualité ? Signalez-nous-la !