Votre panier est vide  Votre compte

Pirater compte facebook facil

Petit article actu aujourd’hui pour parler d’un cas rare, mais visiblement encore possible, de faille dans Facebook permettant de pirater n’importe quel utilisateur du célèbre réseau social. Et sans aucune action de la part de l’utilisateur ciblé… C’est Anand Prakash, un blogueur Indien qui a découvert la faille il y a deux semaines et l’a signalée à Facebook. Après vérification, Facebook lui a offert 15 000 dollars en guise de récompense. Description de la vulnérabilité Anand explique sur son blog que la faille se situe au niveau de la page permettant de réinitialiser un mot de passe oublié : https://www.facebook.com/login/identify?ctx=recover&lwv=110 Facebook envoie dès lors un code à 6 chiffres sur un numéro de téléphone ou une adresse e-mail associée au compte pour lequel on souhaite récupérer le mot de passe. Après avoir essayé 10 à 12 fois de deviner le bon code en essayant des séries de chiffres différentes (attaque par force brute), Facebook a bloqué ses tentatives. Le problème, c’est que la même page de réinitialisation à l’adresse beta.facebook.com et non pas facebook.com ne limitait pas les tentatives. Explication technique La requête vulnérable était la suivante : POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.com lsd=AVoywo13&n=XXXXX La paramètre « n » contenait le code à 6 chiffres (ici remplacé par des « X ») que l’on pouvait tester indéfiniment. Démonstration de la vulnérabilité Voici la vidéo de démonstration créée par l’auteur de la découverte : ÉDIT : vidéo visiblement signalée et supprimée. On voit Anand intercepter la requête sensible puis la relancer automatiquement, en incrémentant les numéros à chaque nouvelle requête. Le bon code est trouvé en quelques minutes, il lui suffit de redéfinir le mot de passe du compte concerné (de son propre compte ici). Anand a bien sûr utilisé son propre compte pour la démonstration, et a décidé de signaler la vulnérabilité plutôt que de se mettre à pirater tout le monde. C’est ça le hacking éthique. Il va également rejoindre les centaines d’autres hackers ayant contribué à la sécurité sur Facebook : https://www.facebook.com/whitehat/thanks/

Petit article actu aujourd’hui pour parler d’un cas rare, mais visiblement encore possible, de faille dans Facebook permettant de pirater n’importe quel utilisateur du célèbre réseau social.

Et sans aucune action de la part de l’utilisateur ciblé…

C’est , un blogueur Indien qui a découvert la faille il y a deux semaines et l’a signalée à Facebook. Après vérification, Facebook lui a offert 15 000 dollars en guise de récompense.

Description de la vulnérabilité

Anand explique sur son blog que la faille se situe au niveau de la page permettant deréinitialiser un mot de passe oublié :

https://www.facebook.com/login/identify?ctx=recover&lwv=110

Facebook envoie dès lors un code à 6 chiffres sur un numéro de téléphone ou une adresse e-mail associée au compte pour lequel on souhaite récupérer le mot de passe.

Après avoir essayé 10 à 12 fois de deviner le bon code en essayant des séries de chiffres différentes (attaque par force brute), Facebook a bloqué ses tentatives.

Le problème, c’est que la même page de réinitialisation à l’adresse beta.facebook.com et non pas facebook.com ne limitait pas les tentatives.

 

Explication technique

La requête vulnérable était la suivante :

POST /recover/as/code/ HTTP/1.1 Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX

La paramètre « n » contenait le code à 6 chiffres (ici remplacé par des « X ») que l’on pouvait tester indéfiniment.

Démonstration de la vulnérabilité

Voici la vidéo de démonstration créée par l’auteur de la découverte :

ÉDIT : vidéo visiblement signalée et supprimée.

On voit Anand intercepter la requête sensible puis la relancer automatiquement, en incrémentant les numéros à chaque nouvelle requête.

Le bon code est trouvé en quelques minutes, il lui suffit de redéfinir le mot de passe du compte concerné (de son propre compte ici).

Anand a bien sûr utilisé son propre compte pour la démonstration, et a décidé de signaler la vulnérabilité plutôt que de se mettre à pirater tout le monde.

C’est ça le hacking éthique.

Il va également rejoindre les centaines d’autres hackers ayant contribué à la sécurité sur Facebook :

https://www.facebook.com/whitehat/thanks/

FACEBOOK

Aucune note. Soyez le premier à attribuer une note !

Ajouter un commentaire

Vous utilisez un logiciel de type AdBlock, qui bloque le service de captchas publicitaires utilisé sur ce site. Pour pouvoir envoyer votre message, désactivez Adblock.

×