Facebook corrige une faille de sécurité qui permettait de pirater n'importe quel compte

Une vulnérabilité sur les versions bêtas du site du réseau social permettait de réinitialiser le mot de passe de n'importe quel compte.

Un utilisateur se connecte à Facebook, à Bordeaux, le 30 janvier 2013.
Un utilisateur se connecte à Facebook, à Bordeaux, le 30 janvier 2013. (REGIS DUVIGNAU / REUTERS)

Mis à jour le , publié le

Anand Prakash aurait pu causer bien du souci à Facebook. Mais ce pirate informatique indien a plutôt choisi d'avertir le réseau social, après avoir découvert une faille de sécurité qui permettait d'accéder à n'importe quel compte, rapporte Le Figaro mercredi  9 mars.

Anand Prakash, qui est aussi chercheur en cybersécurité, a découvert un bug qui affectait le dispositif de réinitialisation des mots de passe sur Facebook. En temps normal, un utilisateur doit entrer un code de 6 chiffres reçu par SMS avant de pouvoir choisir un nouveau mot de passe. Au bout de dix essais erronés, le compte est bloqué.

15 000 dollars de récompense

Mais sur les versions bêta du site de Facebook, utilisées par les développeurs, le nombre d'essais est illimité. Un hackeur peut donc y tester toutes les combinaisons possibles, précise Le Figaro. Anand Prakash a d'ailleurs piraté son propre compte pour confirmer cette faille.

Le hackeur indien a averti le réseau social de ce grave bug le 22 février. En récompense, Facebook a versé 15 000 dollars (13 500 euros) à Anand Prakash. Le groupe de Mark Zuckerberg a en effet lancé le programme Bug Bounty ("chasseur de bug") en 2011, pour rétribuer ceux qui signalent des failles de sécurité sur le site. En cinq ans, Facebook a distribué 4,3 millions de dollars (3,8 millions d'euros) pour corriger 2400 vulnérabilités sur son site.