L’un des principes du test de logiciels stipule que l’absence de bogues est une utopie, c’est la raison pour laquelle les géants du web ont lancé des programmes de chasse aux bogues. Le géant de la recherche Google a annoncé avoir déboursé un total de 2,9 millions de dollars en 2017 dans le cadre de son Vulnerability Reward Program (VRP). Le plus gros chèque d’une valeur de 112 500 dollars est allé à un chercheur qui a dévoilé une chaine d’exploit qui permettait l’exécution de code à distance sur des smartphones Pixel.
Tout comme Google, Facebook a son propre programme qui ouvre la porte aux chasseurs de bogues du monde entier. L’année dernière, la société a payé 880 000 dollars aux chercheurs de sécurité, et en six ans, le réseau social a payé 6,3 millions de $.
Parmi les chercheurs qui ont participé au programme de Facebook, l’un d’eux a réussi l’exploit de pirater n’importe quel compte Facebook. En exploitant une vulnérabilité, il lui était possible d’accéder à n’importe quel compte des deux milliards d’utilisateurs inscrits sur le réseau social.
Après avoir contacté Facebook et que la vulnérabilité a été corrigée, ce chercheur a choisi de raconter comment il a réussi son exploit. La vulnérabilité qu’il a découverte, pourtant simple, lui a permis d’accéder à n’importe quel compte de Facebook sans interaction de l’utilisateur. De là, il avait la possibilité de modifier le mot de passe et assigner un nouveau. Il pouvait ensuite lire les messages, dérober les cartes bancaires liées au compte, voler les photos personnelles et les autres informations privées.
Facebook a pour sa part validé la vulnérabilité, l’a corrigée et a payé 15 000 dollars, un montant calculé en se basant sur des critères comme la sévérité et l’impact de la vulnérabilité.
Comment le hack a-t-il fonctionné ?
Quand un utilisateur oublie son mot de passe sur Facebook, il a la possibilité de le réinitialiser en entrant son numéro de téléphone mobile et son adresse email. Facebook se charge par la suite d’envoyer un code de 6 chiffres au numéro de l’utilisateur ou bien à l’adresse email que l’utilisateur doit renseigner afin de choisir un nouveau mot de passe.
Le chercheur a essayé une attaque de type brute force pour trouver le code sur www.facebook.com, mais il a été bloqué après 10 à 12 tentatives sans succès. Pour rappel, l’attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s’agit de tester, une à une, toutes les combinaisons possibles.
Par la suite, le chercheur a essayé la même méthode sur beta.facebook.com et mbasic.beta.facebook.com. Et curieusement, il s’est rendu compte qu’il n’y avait aucune limite aux tentatives de réinitialisation de mot de passe.
Pour se conformer aux règles de Facebook, le chercheur en question n’a tenté de débloquer que son propre compte et a réussi à assigner un nouveau mot de passe. Après, il pouvait utiliser le même mot de passe pour s’authentifier et se connecter à son compte piraté.
« Comme vous pouvez le voir dans la vidéo, j’ai réussi à avoir un nouveau mot de passe pour l’utilisateur en trouvant par force brute le code envoyé à l’adresse email et le numéro de téléphone », a écrit le chercheur.
1 2 3 | POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.com lsd=AVoywo13&n=XXXXX |
En recourant à une attaque par force brute, le chercheur a réussi à déterminer le “n”, ce qui lui a permis de réinitialiser le mot de passe du compte Facebook.
L’équipe de sécurité de Facebook a été notifiée de l’existence de cette vulnérabilité le 22 février 2016, et l’a corrigé en moins de 24 heures. Toutefois, cette histoire rappelle une fois encore combien de fois des sociétés à plusieurs milliards de dollars peuvent laisser passer des brèches de sécurité sérieuses, comme c’est le cas ici dans le design de la version bêta de Facebook. Pour dire simple, Facebook a omis de mettre en place des protections contre des attaques par force brute pour un code prédéfini de six chiffres.
Le chercheur qui a découvert cette vulnérabilité a reçu 15 000 dollars pour son rapport, un montant assez faible si l’on sait que ce genre de faille se vend à prix d’or sur le marché noir. Fort heureusement, le chercheur a choisi d’être honnête !
Source : freecodecamp
Pensez-vous que les chercheurs en sécurité sont assez rémunérés par les programmes de chasse aux bogues ?