Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Facebook offre une grosse prime à un chercheur
Qui a découvert une faille permettant de prendre le contrôle d'un de ses serveurs

Le , par Arsene Newman

42PARTAGES

3  1 
Reginaldo Silva, chercheur brésilien en sécurité informatique, s’est vu attribuer une coquette somme par Facebook suite à la découverte d’une faille de sécurité, lui permettant de prendre contrôle d’un de ses serveurs et d’accéder à des données sensibles.

Le brésilien n’en est pas à son premier coup d’essai. Par le passé, il s’était déjà vu attribuer une prime minime de 500 dollars par Google. En effet, depuis 2012, ses travaux de recherche portent sur les vulnérabilités d’un protocole largement utilisé sur Internet, à savoir OpenID , plus spécifiquement sur le bug XML External Entity Expansion (XXE).

OpenID est utilisé entre autres par Facebook pour permettre à ses utilisateurs de recouvrir leur mot de passe. Pour cela, un serveur de la firme exécutant le service Yadis (Serveur Yadis) se connecte à un provider OpenID (Ex : Google) pour authentifier l’utilisateur.

C’est dans ce cadre qu’en septembre 2012, les travaux de Silva le conduisent à exploiter la faille XXE pour établir une connexion non autorisée, entre une machine dont il a le contrôle et le serveur Yadis, en se faisant passer pour un provider OpenID authentifié. Après avoir exploité la faille XXE avec succès, à sa grande surprise Silva découvre qu’il est en mesure d’accéder au mot de passe du fichier /etc/passwd, laissant la porte ouverte à une élévation de ses privilèges et au contrôle total du serveur Yadis.

Aussitôt, il notifie sa découverte à l’équipe de sécurité de Facebook et leur propose une démonstration, toutefois sa demande reste vaine et l’équipe en charge de la sécurité du réseau social publie un correctif dans les 3h30 qui suivent, puis il fut recontacté pour démontrer la démarche qui lui aurait permis de prendre le contrôle du serveur.

Vu l’ampleur de la brèche de sécurité et suite à la concertation des responsables, il a été décidé d’offrir une prime d’un montant de 35 000 dollars à Silva, soit la plus grosse prime payée par Facebook jusqu’à aujourd’hui.

Source : Blog du chercheur, Annonce de Facebook

Et vous ?

Qu’en pensez-vous ?

Estimez-vous que Facebook aurait dû donner une prime plus conséquente ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Saverok
Expert éminent https://www.developpez.com
Le 24/01/2014 à 17:08
35 000$ pour une faille pareille, c'est risible !! surtout pour une boîte comme Facebook avec un CA d'1 milliard $

L’honnêteté ne paye pas, c'est bien connu
3  2 
Avatar de [DreaMs]
Membre régulier https://www.developpez.com
Le 25/01/2014 à 9:54
Oui enfin en même temps ils auraient aussi pu ne rien donner ... (même si ce n'était pas dans leur intérêt)
2  1 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 27/01/2014 à 12:11
Citation Envoyé par free07 Voir le message
35 000 dollars... C'est surement pas grand chose en regard des dommages qu'auraient subit google si cette faille avait été exploité par des gens mal intentionnés.

Il auraient pu se montrer + généreux, c'est juste un pourboire pour une société comme google !
On parle pas de google la mais de facebook...
0  0 
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 27/01/2014 à 12:38
35K c'est vraiment dérisoire comparé au CA de Facebook, mais ça reste une belle somme tout de même.

Quoi qu'il en soit, il reste un très bon chercheur... Il recevra sur son linkedin pas mal de propositions d'embauche je pense. C'est déjà pas mal !
0  0 
Avatar de halimux
Membre du Club https://www.developpez.com
Le 02/02/2014 à 11:05
Lidéal c'est de lui proposé un poste de travail à Facebook, je pense pas que ce genis va refusé cette proposition..
1  1 
Avatar de free07
Membre expérimenté https://www.developpez.com
Le 24/01/2014 à 16:17
35 000 dollars... C'est surement pas grand chose en regard des dommages qu'auraient subit google si cette faille avait été exploité par des gens mal intentionnés.

Il auraient pu se montrer + généreux, c'est juste un pourboire pour une société comme google !
0  4