Facebook offre une grosse prime à un chercheur
Qui a découvert une faille permettant de prendre le contrôle d'un de ses serveurs
Le 2014-01-23 23:01:39, par Arsene Newman, Expert éminent sénior
Reginaldo Silva, chercheur brésilien en sécurité informatique, s’est vu attribuer une coquette somme par Facebook suite à la découverte d’une faille de sécurité, lui permettant de prendre contrôle d’un de ses serveurs et d’accéder à des données sensibles.
Le brésilien n’en est pas à son premier coup d’essai. Par le passé, il s’était déjà vu attribuer une prime minime de 500 dollars par Google. En effet, depuis 2012, ses travaux de recherche portent sur les vulnérabilités d’un protocole largement utilisé sur Internet, à savoir OpenID , plus spécifiquement sur le bug XML External Entity Expansion (XXE).
OpenID est utilisé entre autres par Facebook pour permettre à ses utilisateurs de recouvrir leur mot de passe. Pour cela, un serveur de la firme exécutant le service Yadis (Serveur Yadis) se connecte à un provider OpenID (Ex : Google) pour authentifier l’utilisateur.
C’est dans ce cadre qu’en septembre 2012, les travaux de Silva le conduisent à exploiter la faille XXE pour établir une connexion non autorisée, entre une machine dont il a le contrôle et le serveur Yadis, en se faisant passer pour un provider OpenID authentifié. Après avoir exploité la faille XXE avec succès, à sa grande surprise Silva découvre qu’il est en mesure d’accéder au mot de passe du fichier /etc/passwd, laissant la porte ouverte à une élévation de ses privilèges et au contrôle total du serveur Yadis.
Aussitôt, il notifie sa découverte à l’équipe de sécurité de Facebook et leur propose une démonstration, toutefois sa demande reste vaine et l’équipe en charge de la sécurité du réseau social publie un correctif dans les 3h30 qui suivent, puis il fut recontacté pour démontrer la démarche qui lui aurait permis de prendre le contrôle du serveur.
Vu l’ampleur de la brèche de sécurité et suite à la concertation des responsables, il a été décidé d’offrir une prime d’un montant de 35 000 dollars à Silva, soit la plus grosse prime payée par Facebook jusqu’à aujourd’hui.
Source : Blog du chercheur, Annonce de Facebook
Et vous ?
Le brésilien n’en est pas à son premier coup d’essai. Par le passé, il s’était déjà vu attribuer une prime minime de 500 dollars par Google. En effet, depuis 2012, ses travaux de recherche portent sur les vulnérabilités d’un protocole largement utilisé sur Internet, à savoir OpenID , plus spécifiquement sur le bug XML External Entity Expansion (XXE).
OpenID est utilisé entre autres par Facebook pour permettre à ses utilisateurs de recouvrir leur mot de passe. Pour cela, un serveur de la firme exécutant le service Yadis (Serveur Yadis) se connecte à un provider OpenID (Ex : Google) pour authentifier l’utilisateur.
C’est dans ce cadre qu’en septembre 2012, les travaux de Silva le conduisent à exploiter la faille XXE pour établir une connexion non autorisée, entre une machine dont il a le contrôle et le serveur Yadis, en se faisant passer pour un provider OpenID authentifié. Après avoir exploité la faille XXE avec succès, à sa grande surprise Silva découvre qu’il est en mesure d’accéder au mot de passe du fichier /etc/passwd, laissant la porte ouverte à une élévation de ses privilèges et au contrôle total du serveur Yadis.
Aussitôt, il notifie sa découverte à l’équipe de sécurité de Facebook et leur propose une démonstration, toutefois sa demande reste vaine et l’équipe en charge de la sécurité du réseau social publie un correctif dans les 3h30 qui suivent, puis il fut recontacté pour démontrer la démarche qui lui aurait permis de prendre le contrôle du serveur.
Vu l’ampleur de la brèche de sécurité et suite à la concertation des responsables, il a été décidé d’offrir une prime d’un montant de 35 000 dollars à Silva, soit la plus grosse prime payée par Facebook jusqu’à aujourd’hui.
Source : Blog du chercheur, Annonce de Facebook
Et vous ?
-
SaverokExpert éminent35 000$ pour une faille pareille, c'est risible !! surtout pour une boîte comme Facebook avec un CA d'1 milliard $
L’honnêteté ne paye pas, c'est bien connule 24/01/2014 à 17:08 -
[DreaMs]Membre régulierOui enfin en même temps ils auraient aussi pu ne rien donner ... (même si ce n'était pas dans leur intérêt)le 25/01/2014 à 9:54
-
AiekickMembre extrêmement actifle 27/01/2014 à 12:11
-
ShutyMembre éprouvé35K c'est vraiment dérisoire comparé au CA de Facebook, mais ça reste une belle somme tout de même.
Quoi qu'il en soit, il reste un très bon chercheur... Il recevra sur son linkedin pas mal de propositions d'embauche je pense.C'est déjà pas mal ! le 27/01/2014 à 12:38 -
halimuxMembre du ClubLidéal c'est de lui proposé un poste de travail à Facebook, je pense pas que ce genis va refusé cette proposition..le 02/02/2014 à 11:05
-
free07Membre chevronné35 000 dollars... C'est surement pas grand chose en regard des dommages qu'auraient subit google si cette faille avait été exploité par des gens mal intentionnés.
Il auraient pu se montrer + généreux, c'est juste un pourboire pour une société comme google !le 24/01/2014 à 16:17