Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

Facebook offre une grosse prime à un chercheur
Qui a découvert une faille permettant de prendre le contrôle d'un de ses serveurs

Le , par Arsene Newman, Expert éminent sénior
Reginaldo Silva, chercheur brésilien en sécurité informatique, s’est vu attribuer une coquette somme par Facebook suite à la découverte d’une faille de sécurité, lui permettant de prendre contrôle d’un de ses serveurs et d’accéder à des données sensibles.

Le brésilien n’en est pas à son premier coup d’essai. Par le passé, il s’était déjà vu attribuer une prime minime de 500 dollars par Google. En effet, depuis 2012, ses travaux de recherche portent sur les vulnérabilités d’un protocole largement utilisé sur Internet, à savoir OpenID , plus spécifiquement sur le bug XML External Entity Expansion (XXE).

OpenID est utilisé entre autres par Facebook pour permettre à ses utilisateurs de recouvrir leur mot de passe. Pour cela, un serveur de la firme exécutant le service Yadis (Serveur Yadis) se connecte à un provider OpenID (Ex : Google) pour authentifier l’utilisateur.

C’est dans ce cadre qu’en septembre 2012, les travaux de Silva le conduisent à exploiter la faille XXE pour établir une connexion non autorisée, entre une machine dont il a le contrôle et le serveur Yadis, en se faisant passer pour un provider OpenID authentifié. Après avoir exploité la faille XXE avec succès, à sa grande surprise Silva découvre qu’il est en mesure d’accéder au mot de passe du fichier /etc/passwd, laissant la porte ouverte à une élévation de ses privilèges et au contrôle total du serveur Yadis.

Aussitôt, il notifie sa découverte à l’équipe de sécurité de Facebook et leur propose une démonstration, toutefois sa demande reste vaine et l’équipe en charge de la sécurité du réseau social publie un correctif dans les 3h30 qui suivent, puis il fut recontacté pour démontrer la démarche qui lui aurait permis de prendre le contrôle du serveur.

Vu l’ampleur de la brèche de sécurité et suite à la concertation des responsables, il a été décidé d’offrir une prime d’un montant de 35 000 dollars à Silva, soit la plus grosse prime payée par Facebook jusqu’à aujourd’hui.

Source : Blog du chercheur, Annonce de Facebook

Et vous ?

Qu’en pensez-vous ?

Estimez-vous que Facebook aurait dû donner une prime plus conséquente ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de free07 free07 - Membre éprouvé https://www.developpez.com
le 24/01/2014 à 16:17
35 000 dollars... C'est surement pas grand chose en regard des dommages qu'auraient subit google si cette faille avait été exploité par des gens mal intentionnés.

Il auraient pu se montrer + généreux, c'est juste un pourboire pour une société comme google !
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 24/01/2014 à 17:08
35 000$ pour une faille pareille, c'est risible !! surtout pour une boîte comme Facebook avec un CA d'1 milliard $

L’honnêteté ne paye pas, c'est bien connu
Avatar de [DreaMs] [DreaMs] - Membre régulier https://www.developpez.com
le 25/01/2014 à 9:54
Oui enfin en même temps ils auraient aussi pu ne rien donner ... (même si ce n'était pas dans leur intérêt)
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 27/01/2014 à 12:11
Citation Envoyé par free07  Voir le message
35 000 dollars... C'est surement pas grand chose en regard des dommages qu'auraient subit google si cette faille avait été exploité par des gens mal intentionnés.

Il auraient pu se montrer + généreux, c'est juste un pourboire pour une société comme google !

On parle pas de google la mais de facebook...
Avatar de Shuty Shuty - Membre éprouvé https://www.developpez.com
le 27/01/2014 à 12:38
35K c'est vraiment dérisoire comparé au CA de Facebook, mais ça reste une belle somme tout de même.

Quoi qu'il en soit, il reste un très bon chercheur... Il recevra sur son linkedin pas mal de propositions d'embauche je pense. C'est déjà pas mal !
Avatar de halimux halimux - Membre du Club https://www.developpez.com
le 02/02/2014 à 11:05
Lidéal c'est de lui proposé un poste de travail à Facebook, je pense pas que ce genis va refusé cette proposition..
Offres d'emploi IT
Architecte sécurité des systèmes d'information embarqués H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY
Responsable protection des données H/F
Safran - Ile de France - Magny-les-Hameaux (78114)
Ingénieur développement fpga (traitement vidéo) H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil