Facebook bouche une faille qui permettait d’accéder à n’importe quel compte

Anand Prakash, un ingénieur indien spécialisé dans la sécurité, a trouvé une importante faille au sein de Facebook. Celle-ci permettait de réinitialiser le mot de passe de n’importe compte pour ensuite le changer et ainsi avoir un accès à tout le contenu.

Mais bonne nouvelle : la faille est aujourd’hui bouchée. Anand Prakash l’a dévoilée au réseau social il y a peu, ce dernier a reconnu l’existence. Il a ainsi donné 15 000 dollars à l’ingénieur pour le remercier de la trouvaille. Cette somme est jugée faible par certains, estimant que la faille pouvait être critique au vu de son impact. On devine tout de même que l’ingénieur est bien content d’avoir été payé. Ce n’est pas nouveau, Facebook paye les personnes qui trouvent des failles de sécurité comme celle-ci.

L’ingénieur explique le fonctionnement de la faille sur son blog. Quand un utilisateur réinitialise son mot de passe, il doit entrer une série de six chiffres reçue sur son téléphone. Après plusieurs échecs, une erreur s’affiche. Mais ce scénario est vrai sur facebook.com, mais pas beta.facebook.com (la version « bêta » permet de tester différents éléments avant de les déployer pour tous). Il a ainsi pu tester toutes les combinaisons possibles jusqu’à trouver la bonne sans erreur le bloquant en plein milieu.

Si vous avez trouvé une faille de sécurité, vous pouvez la reporter à Facebook en cliquant ici. Si le réseau social reconnait la faille, il vous versera une somme d’argent. Celle-ci varie selon l’impact sur les utilisateurs et le risque.