Pirater un compte Facebook n’est pas si difficile, à condition d’avoir quelques compétences techniques. En analysant le mécanisme de récupération de compte de ce réseau social, le hacker Gurkirat Singh a mis la main sur une faille relativement simple à comprendre. Lorsqu’on clique sur le lien « Mot de passe oublié » et que l’on renseigne son identifiant, on reçoit de la part de Facebook un email avec un code d’activation à 6 chiffres qui reste valable tant qu’il n’a pas été utilisé. Or, il y a un million de possibilités pour créer un code à six chiffres. M. Singh s’est donc dit que si plus d’un million d’utilisateurs envoyaient une requête de récupération de compte plus ou moins en même temps, certains auraient nécessairement le même code. Ce qui lui a donné l’idée d’une attaque.
Noyer Facebook avec des millions de requêtes
L’homme s’est d’abord constitué une base de deux millions d’identifiants Facebook réels en effectuant des requêtes sur l’interface de programmation Graph API. Il faut savoir que chaque compte Facebook dispose d’un numéro d’identifiant unique. Vous pouvez connaître le vôtre en allant sur le site Findmyfbid.com. En prenant des numéros d’identifiants au hasard, l’API permet au hacker de savoir s’il correspond à un compte réel. Ensuite, pour récupérer l’identifiant, il suffit de taper l’URL de Facebook suivi du numéro et hop, ce dernier se transforme automatiquement en identifiant. Nous l’avons testé : ça marche.
Après, Gurkirat Singh a écrit un script qui permet d’envoyer une demande de récupération de compte pour chaque identifiant. Pour ne pas être bloqué, il a fait en sorte que l’origine des demandes de récupération tournent sur plusieurs milliers d’adresses IP différentes. « Il y a plusieurs services en ligne qui offrent ce type de fonctionnalité », souligne-t-il, dans une note de blog. Ensuite, il a choisi au hasard un code à six chiffres et a tenté une récupération pour chaque compte de sa base (au moyen d’un script automatisé, évidemment). Bingo, ça marche ! Il peut créer un nouveau mot de passe pour l’un des comptes.
Après avoir notifié cette faille auprès de Facebook, Gurkirat Singh a reçu une récompense de 500 dollars, ce qui est relativement peu. « C’est une faille critique qui permet de complètement accéder au compte d’un tiers, mais pour Facebook c’est faiblement prioritaire. Je ne sais pas pourquoi », ajoute-t-il, un brin déçu. Depuis, Facebook a colmaté la brèche, en appliquant notamment des filtres plus agressifs sur les adresses IP. Auprès de Hacker News, le hacker exprime néanmoins ses doutes sur l’efficacité de ce patch. Il pense que son attaque est toujours faisable en prenant un pool d’adresses IP plus large.
Quoiqu’il en soit, sachez que l’authentification à deux étapes (code envoyé par SMS) permet de se prémunir contre ce type d’attaque. Même si un pirate arrive à modifier votre mot de passe, il lui faudra alors obtenir ce précieux code aléatoire. Ce qui commence à être nettement plus compliqué.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.