Un chercheur trouve un bogue dans le système de réinitialisation de mot de passe de Facebook

Qui permet de réinitialiser tous les comptes

Anand Prakash, un chercheur indépendant en sécurité vivant à Karnataka (un État situé dans le sud de l'Inde), a trouvé une vulnérabilité dans Facebook qui pouvait être utilisée pour pirater relativement facilement un compte sans l'interaction de l'utilisateur. Le bogue se situait au niveau de la réinitialisation des mots de passe.

Le procédé de la réinitialisation de mot de passe sur Facebook est simple et classique : il suffit d'accéder à l’écran de connexion Facebook, en haut à droite de cliquer sur « Mot de passe oublié ? », saisir l’adresse mail, le numéro de téléphone, le nom complet ou le nom d’utilisateur associés à votre compte, puis de cliquer sur Recherche. Une série d'instructions seront alors données à l'utilisateur qui sera invité à les suivre. Après cela, l'utilisateur recevra un code à six chiffres par SMS ou à son adresse mail qu'il devra entrer dans le formulaire de réinitialisation du mot de passe, clé qui lui permettra alors de définir un nouveau mot de passe.

Le problème ? Aucune limite du nombre d'essais n'avait été définie sur les sites bêta de Facebook (beta.facebook.com et mbasic.beta.facebook.com) contrairement au site principal facebook.com. Ces plateformes servent de zone de test pour les utilisateurs qui veulent faire l'expérience des nouvelles fonctionnalités du numéro un du réseau social avant qu'elles ne soient déployées sur le site principal.

En se servant d'un script, il a lancé une attaque par force brute sur la plateforme de test, l'objectif étant d'essayer toutes les combinaisons possibles de ces six chiffres en question. Une fois le mot de passe réinitialisé sur la plateforme de test, il a pu s'en servir sur le site principal de Facebook. En guise de test, il a essayé sur son propre compte avec succès : cette vulnérabilité « m'a donné un accès total à d'autres comptes utilisateur en définissant un nouveau mot de passe. J'étais en mesure de voir les messages, les informations relatives aux cartes de paiement sauvegardées dans la section paiement, les photos personnelles, etc. ». Ladite attaque n'a pas fonctionné sur le site principal qui l'a automatiquement bloquée après 10 ou 12 entrées invalides.

Il a prévenu Facebook le 22 février dernier, l'entreprise a reconnu l'existence de la faille et a résolu le problème le lendemain. En guise de récompense, le chercheur a reçu 15 000 dollars (environ 13 600 euros) pour sa découverte. Ci-dessous une vidéo enregistrée par le chercheur en guise de preuve de concept.


Source : blog Anand Prakash