Une faille dans le système d'authentification permettait de pirater Facebook...
Un chercheur en sécurité, Gtm Mänôz, a découvert une faille dans un système centralisé de Meta pour la gestion des connexions à Facebook et Instagram. La faille aurait permis à des pirates informatiques de désactiver la protection de double authentification en connaissant simplement le numéro de téléphone de la victime.
En entrant le numéro de téléphone dans le centre des comptes Meta, un attaquant aurait pu lier ce numéro à son propre compte Facebook et forcer le code de vérification en deux étapes par SMS. Etant donné qu'il n'y avait pas de limite supérieure au nombre d'essais, l'attaquant aurait pu obtenir le code correct et lier le numéro de téléphone de la victime à son propre compte Facebook. Donc il est bien possible de pirater Facebook ;)
Une fois que l'attaquant a obtenu le bon code, le numéro de téléphone de la victime est devenu lié au compte Facebook de l'attaquant. Même si une attaque réussie entraînerait toujours l'envoi d'un message de Meta à la victime, indiquant que sa double authentification a été désactivée car son numéro de téléphone a été lié à un autre compte.
"En gros, le plus grand impact ici était de révoquer la double authentification basée sur SMS de quiconque en connaissant simplement le numéro de téléphone", a déclaré Mänôz à TechCrunch.
La découverte et la correction de la vulnérabilité 2FA pour empêcher le piratage de Facebook
Mänôz a découvert la vulnérabilité dans le Centre des comptes Meta l'année dernière et a signalé le bug à la société en septembre. Meta a corrigé le bug quelques jours plus tard et a payé Mänôz 27 200 $ pour le signalement du bug.
Une porte-parole de Meta, Gabby Curtis, a déclaré à TechCrunch que, au moment du bug, le système de connexion était encore en phase de petit test public. Curtis a également déclaré que l'enquête de Meta après le signalement du bug n'a révélé aucune preuve d'exploitation dans la nature et que Meta n'a constaté aucune augmentation de l'utilisation de cette fonctionnalité, ce qui indique qu'elle n'a pas été abusée.
Cette découverte de la faille de sécurité sur la plateforme Meta montre l'importance de la sécurité informatique pour les grandes entreprises telles que Facebook et Instagram. Bien que la faille ait été corrigée rapidement par Meta, il est toujours nécessaire d'être vigilant et de continuer à tester les systèmes pour éviter de futurs problèmes de sécurité. La rapidité avec laquelle Gtm Mänôz a découvert la faille et la récompense qu'il a reçue en retour montrent également l'importance de la participation du public et des chercheurs en sécurité dans la protection des données en ligne.
COMMENTAIRES