Un chercheur en sécurité basé au Royaume-Uni et répondant au nom de « fin1te » a gagné 20 000 dollars après avoir découvert un moyen de pirater n’importe quel compte sur Facebook, en envoyant simplement un SMS sur un téléphone portable.
Cela aurait dû – évidemment – être impossible, mais en raison d’une faiblesse dans l’enchevêtrement de millions et de millions de lignes de code de Facebook, potentiellement des centaines de millions de comptes étaient vulnérables au détournement par cette simple technique.
Fin1te (de son vrai nom Jack Whitten) a documenté le fonctionnement du hack sur son blog.
La première chose à faire est d’envoyer la lettre « F » dans un SMS à Facebook, comme si vous enregistriez légitimement votre téléphone portable auprès du réseau social. Au Royaume-Uni, le shortcode SMS pour Facebook est 32665.
Facebook répond, par SMS, avec un code de confirmation de huit caractères.
La séquence normale des événements serait d’entrer ce code de confirmation dans un formulaire Facebook, et de poursuivre son chemin…
Mais fin1te a découvert qu’une vulnérabilité existait sur ce formulaire, qui pouvait être exploitée pour utiliser le code de confirmation qu’il avait reçu de Facebook par SMS avec le compte de *toute* autre personne.
Ce que fin1te avait découvert, c’est qu’un des éléments du formulaire d’activation mobile contenait, en paramètre, l’ID du profil de l’utilisateur. C’est le numéro unique associé au compte de votre cible.
Changez l’ID de profil qui est envoyé par ce formulaire à Facebook, et le réseau social pourrait être dupé en pensant que vous êtes quelqu’un d’autre qui relie un téléphone mobile à son compte.
Donc, la première étape nécessaire pour détourner le compte de quelqu’un de cette façon nécessite l’ID de profil Facebook unique de votre victime.
Si vous ne savez pas quel est l’identifiant numérique de profil de quelqu’un, vous pouvez toujours le rechercher en utilisant des outils disponibles gratuitement – ils ne sont pas censés être un secret.
Sure enough, fin1te a pu remplacer le paramètre d’ID de profil envoyé par son navigateur à Facebook par le numéro unique du compte auquel il voulait accéder…
.. et en quelques secondes, son téléphone portable a reçu un SMS confirmant qu’il avait réussi à connecter l’appareil au compte.
Succès. Un compte Facebook est désormais associé au numéro de téléphone mobile d’un tiers. Sans qu’il soit nécessaire de recourir à un logiciel malveillant ou à un hameçonnage. Il a suffi d’envoyer un SMS.
La dernière étape du détournement de compte est simple. Facebook vous permet de vous connecter à son système en utilisant votre numéro de téléphone mobile plutôt qu’une adresse e-mail si vous le souhaitez, donc lors de la connexion, vous entrez le numéro de téléphone mobile que vous avez associé au compte de votre victime, et vous demandez une réinitialisation du mot de passe par SMS.
Sure enough, fin1te a découvert que Facebook lui a dûment envoyé le code de réinitialisation du mot de passe du compte – ce qui signifie qu’il pouvait changer le mot de passe du compte, et verrouiller son utilisateur légitime.
C’est un moyen incroyablement simple mais puissant de prendre le contrôle du compte Facebook de n’importe qui.
La bonne nouvelle est que fin1te a divulgué la vulnérabilité de manière responsable à Facebook, plutôt que de l’exploiter à des fins malveillantes ou de la vendre à d’autres parties. Facebook a corrigé le problème afin que d’autres ne puissent plus tirer parti de cette grave faille de sécurité. Pour ses ennuis, Facebook a accordé à fin1te une prime de bug d’une valeur considérable de 20 000 $ et a corrigé la vulnérabilité.
Mais il ne fait aucun doute que sur le marché souterrain, peut-être vendue à des cybercriminels ou à des agences de renseignement, la découverte de fin1te aurait pu lui rapporter encore plus d’argent.
Qui sait quelles autres failles de sécurité graves peuvent se trouver à l’intérieur de Facebook et n’ont pas été signalées de manière responsable à l’équipe de sécurité de l’entreprise ?
Si vous envisagez de quitter Facebook, pourquoi ne pas écouter ce podcast « Smashing Security » que nous avons enregistré :
Smashing Security #75 : ‘Quitter Facebook’
Votre navigateur ne prend pas en charge cet élément audio.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/3e3e8a52-4c1e-45c7-8271-8c13eb312039.mp3
Écouter sur Apple Podcasts | Google Podcasts | Pocket Casts | Spotify | Autre… | RSS
Plus d’épisodes…
Cet article vous a intéressé ? Suivez Graham Cluley sur Twitter pour lire d’autres contenus exclusifs que nous publions.
Graham Cluley est un vétéran de l’industrie antivirus, ayant travaillé pour un certain nombre de sociétés de sécurité depuis le début des années 1990, lorsqu’il a écrit la toute première version de Dr Solomon’s Anti-Virus Toolkit pour Windows. Aujourd’hui analyste indépendant en sécurité, il fait régulièrement des apparitions dans les médias et est un orateur public international sur le thème de la sécurité informatique, des pirates et de la vie privée en ligne.Suivez-le sur Twitter à @gcluley, ou envoyez-lui un courriel.