IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Facebook : il pirate le compte de Zuckerberg pour signaler une faille de sécurité

  1. #21
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 522
    Points
    2 522
    Par défaut
    Donc, si on résume, chez Facebook, si vous suivez la voie officielle pour rapporter une vulnérabilité, on vous envoie chier en vous disant que vous délirez, et si on vous imposez la réalité de la vulnérabilité aux yeux de tous de manière évidente, on vous envoie chier en disant que c'est pas bien. En gros, on vous envoie toujours chier si vous voulez rapporter une vulnérabilité, quoi...

    VAAACHEMENT intéressant, leur programme de récompense...

    Déjà que 500$, c'est pas lourd, mais si en plus c'est impossible de les toucher, en réalité, je ne vois pas pourquoi quelqu'un prendrait la peine de les aider...

    Concrètement, les reproches que lui fait Facebook aujourd'hui sont ridicules, en plus d'être franchement hypocrites : il n'a rien fait de bien grave, avec cette vulnérabilité. Je pense que le mot qu'ils cherchent est "merci"...

  2. #22
    Nouveau membre du Club
    Homme Profil pro
    Chargé de référencement pour Provectio
    Inscrit en
    Avril 2013
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Chargé de référencement pour Provectio
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Avril 2013
    Messages : 17
    Points : 26
    Points
    26
    Par défaut
    Toi, tu vas avoir des problèmes!!!

  3. #23
    Membre éprouvé Avatar de Charvalos
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juin 2010
    Messages
    353
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Juin 2010
    Messages : 353
    Points : 1 263
    Points
    1 263
    Par défaut
    Citation Envoyé par tontonnux Voir le message
    Facebook propose un lien qui permet de poster ce genre d'alerte. Il s'en est servi, non pas pour expliquer ce qu'il avait trouvé, mais pour dire qu'il avait trouvé quelque chose et qu'il s'en était servi.
    Si au lieu d'exploiter directement la faille sur le compte de quelqu'un, il avait décrit sa découverte en expliquant la procédure pour y parvenir, il n'y aurait eu aucun souci et il aurait eu sa "récompense".

    Découvrir une faille et l'exploiter sont deux choses distinctes.
    Je suis bien d'accord avec toi mais là, le problème est qu'il l'a signalé plusieurs fois via le lien mais qu'à chaque fois, ils lui ont répondu que ce n'était pas un bug (ce qui n'est pas le cas, apparemment).

    EDIT : d'ailleurs, Facebook reconnaît qu'il est en tort (source)

  4. #24
    Membre émérite
    Inscrit en
    Avril 2010
    Messages
    1 495
    Détails du profil
    Informations forums :
    Inscription : Avril 2010
    Messages : 1 495
    Points : 2 274
    Points
    2 274
    Par défaut
    Pour moi c'est ce qui pouvait lui arriver de mieux, le petit en recherche d'emploi vient de se faire un nom... une "annonce publicitaire" sans équivoque sur tous les médias du monde entier...

    Pour une fois que Facebook sert à quelque chose... En même temps ils peuvent se les garder leurs 500 malheureux euros, une promo comme ça vaut infiniment plus, infiniment plus...

  5. #25
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 470
    Points
    1 470
    Par défaut
    Citation Envoyé par Charvalos Voir le message
    Je suis bien d'accord avec toi mais là, le problème est qu'il l'a signalé plusieurs fois via le lien mais qu'à chaque fois, ils lui ont répondu que ce n'était pas un bug (ce qui n'est pas le cas, apparemment).

    EDIT : d'ailleurs, Facebook reconnaît qu'il est en tort (source)
    Non, non, il avait bien exploité la faille dès le départ puisqu'il comptait baser sa démonstration sur le fait qu'il a réussi à poster sur le mur d'une certain Sarah.
    Il a bel et bien commencé par exploiter la faille avant de prévenir. Le hack du mur de Zuckerberg était sa seconde exploitation (du moins de ce que l'on sait).

  6. #26
    Futur Membre du Club
    Profil pro
    Inscrit en
    Juin 2005
    Messages
    6
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2005
    Messages : 6
    Points : 5
    Points
    5
    Par défaut baaahhhh
    Ça sent la mauvaise foi.

  7. #27
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    Novembre 2002
    Messages
    8 964
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2002
    Messages : 8 964
    Points : 28 457
    Points
    28 457
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    La recompense de Facebook, c'est $500, pas 10 000.


    Et sinon, la question est de savoir si, pour reveler une faille, tu as le droit d'utiliser des moyens illegaux (utilisation de comptes tierces dans ce cas). FB dit que non, lui dit que oui.

    C'est un debat vieux comme le monde, et ce n'est pas ce cas la qui va le resoudre.
    d'après la vidéo qu'il a fait sur l'exploit je dirais que la faille consistait tout simplement à remplacer un champ caché dans le formulaire web. Ce qu'on peut faire avec n'importe quel navigateur digne de ce nom.

    il n'a pas à proprement parler utilisé un compte tierces, il a récupéré par l'API Facebook un ID qu'il a placé dans un formulaire web...

    d'ailleurs je viens de regarder dans une page FaceBook, le formulaire pour poster un commentaire (/ajax/updatestatus.php) contient bien l'ID (parent_fbid) de l'émetteur dans le champ "clp". Je suppose qu'ils avaient oublié dans le script de vérifier que l'auteur est bien celui qu'il prétend être.

    ça me rappelle le site web d'une société qui se disait spécialisée dans le développement web et qui propose des espaces de collaboration (il y a des années de cela)...quand j'ai vu que le champ "mot de passe" était de type "text" et non "password" ça m'a surpris...mais quand j'ai vu que l'url de la page était "compte.php?id=128", je me suis demandé ce que ça ferait de mettre 127 en id...et bingo je suis tombé sur le compte d'une autre personne avec son mot de passe en clair

  8. #28
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut
    Facebook : la communauté des Hackers se mobilise et offre 10 000 dollars à l’étudiant palestinien
    privé de sa prime par la société

    Khalil Shreateh, un étudiant palestinien, a piraté le compte de Mark Zuckerberg pour se faire entendre suite à plusieurs rejets des responsables de la sécurité de Facebook, ne voulant pas reconnaitre la faille signalée par celui-ci.

    Le geste de Khalil Shreateh lui a fait perdre sa récompense. Facebook, bien qu’ayant reconnu et corrigé la vulnérabilité, estime qu’il n’aurait pas respecté les termes de la politique de divulgation des vulnérabilités de l’entreprise.

    Un geste qui a cependant créé une certaine indignation auprès de la communauté des hackers, qui a décidé de récompenser Khalil Shreateh pour son geste.

    Marc Maiffret, expert en sécurité et PDG de BeyondTrust, a lancé une campagne de collecte de fonds pour Shreateh : « Khalil Shreateh a trouvé une vulnérabilité dans Facebook.com et en raison des problèmes de communication, il n’a pas reçu de prime pour son travail. Envoyons tous un message aux chercheurs en sécurité à travers le monde, pour montrer que nous apprécions les efforts qu’ils font pour le bien de tout le monde ».

    En 24 heures seulement, plus de 9 000 dollars ont été collectés. L’objectif des 10 000 dollars a été atteint peu de temps après.

    Dans un billet de blog, Facebook a présenté ses excuses à Shreateh, reconnaissant avoir été un peu trop hâtif et s’engageant à améliorer la façon dont est gérée la signalisation des bogues.


    Sources : la campagne de collecte des fonds sur GoFundMe, excuses de Facebook

  9. #29
    Membre régulier
    Profil pro
    Inscrit en
    Décembre 2009
    Messages
    53
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2009
    Messages : 53
    Points : 118
    Points
    118
    Par défaut
    En 24 heures seulement, plus de 9 000 dollars ont été collectés. L’objectif des 10 000 dollars a été atteint peu de temps après.

    Dans un billet de blog, Facebook a présenté ses excuses à Shreateh, reconnaissant avoir été un peu trop hâtif et s’engageant à améliorer la façon dont est gérée la signalisation des bogues.
    Comme quoi tout est bien qui finit bien

  10. #30
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 470
    Points
    1 470
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Marc Maiffret, expert en sécurité et PDG de BeyondTrust, a lancé une campagne de collecte de fonds pub pour Shreateh BeyondTrust...

  11. #31
    Membre émérite
    Avatar de DelphiManiac
    Homme Profil pro
    Homme à tout faire
    Inscrit en
    Mars 2002
    Messages
    1 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 60
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Homme à tout faire
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2002
    Messages : 1 147
    Points : 2 533
    Points
    2 533
    Par défaut
    tontonnux, expert en <quelque chose, ou pas> et PDG de <je ne sais quoi>, aurait pu lancé une campagne de collecte de fonds pour Shreateh... et n'aurais sûrement pas eu le même impact.
    Tu peux remplacer tontonnux par DelphiManiac, le résultat aurait été le même. Je n'ai rien contre ta personne, mais plutôt contre ta correction remarque.

    Il serait bien de ne pas voir le "mal" partout :/ Même sans parler de voir le "mal", il a eu cette idée, il l'a mise en place, tant mieux pour Shreateh

    Il a sûrement profité de sa notoriété et de plus il a fait parler de lui, tant mieux pour lui, au moins un qui ne fait pas parler de lui pour rien.

  12. #32
    Membre chevronné
    Avatar de Pelote2012
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2008
    Messages
    925
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 925
    Points : 1 839
    Points
    1 839
    Billets dans le blog
    2
    Par défaut
    Pub ou pas, au moins ce chercheurs sera récompenser pour son travail.
    Maintenant, avec un peu de chance, Facebook lui versera aussi la prime pour éviter une mauvaise image

  13. #33
    Nouveau Candidat au Club
    Homme Profil pro
    employé
    Inscrit en
    Avril 2014
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France

    Informations professionnelles :
    Activité : employé
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2014
    Messages : 1
    Points : 0
    Points
    0
    Par défaut
    Cela m'étonnerai grandement que les employés fb n'aient pas un accès avec aucune restriction..
    comme dans les logiciels bancaires, selon l'équipe où tu te trouves tu as accès à des données que d'autres n'ont pas.
    Bref, donc l'argument que le gars ne pouvait pas voir sur le mur de x ou y car il n'est pas amis est faut à mon avis..
    Salutations

Discussions similaires

  1. PayPal a pris plus d'un an pour corriger une faille critique
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 1
    Dernier message: 22/11/2014, 13h24
  2. Réponses: 0
    Dernier message: 18/07/2014, 12h05
  3. Facebook ignorerait une faille de sécurité dans ses API
    Par Doksuri dans le forum Actualités
    Réponses: 0
    Dernier message: 07/10/2011, 17h17
  4. Réponses: 0
    Dernier message: 23/11/2010, 12h33
  5. Réponses: 4
    Dernier message: 18/11/2009, 19h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo