IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Facebook : il pirate le compte de Zuckerberg pour signaler une faille de sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : Mars 2013
    Messages : 426
    Points : 32 561
    Points
    32 561
    Par défaut Facebook : il pirate le compte de Zuckerberg pour signaler une faille de sécurité
    Facebook : il pirate le compte de Zuckerberg pour signaler une faille de sécurité
    et perd au passage sa récompense

    Aucun logiciel informatique n’est exempt de bogues et il n’existe pas de sécurité parfaite. Les grosses firmes informatiques comme Google ou encore Facebook dépensent des sommes importantes dans des programmes permettant aux hackers de révéler des vulnérabilités qu’ils auraient découvertes dans leurs produits.

    Khalil Shreateh est le chercheur en sécurité d’origine palestinienne qui a découvert une vulnérabilité dans le célèbre réseau social, permettant à un hacker de poster des messages sur le mur privé de ses victimes sans pour autant être dans leur liste d’amis.

    Le chercheur, plusieurs fois, a contacté les ingénieurs responsables de la sécurité de Facebook, sans succès. « Nous sommes désolés, mais ceci n’est pas un bogue », recevra-t-il comme réponse de ceux-ci.

    Pour se faire entendre, il a dû poster, sur le mur privé de Mark Zuckerberg, un message dans lequel il présente la vulnérabilité et explique ses déboires avec l’équipe de sécurité.


    Il finit par avoir gain de cause. La vulnérabilité a été corrigée. Cependant, Facebook refuse de l’indemniser parce qu’il n’aurait pas respecté les termes de la politique de divulgation des vulnérabilités de l’entreprise. Khalil aurait posté des messages sur des murs privés d’utilisateurs sans leurs permissions.

    D’après Matt Jones, ingénieur en sécurité chez Facebook, pour divulguer une faille, il faut dans un premier temps avoir un compte de «white Hat» (chercheur en sécurité qui rend publiques les failles des logiciels) et ensuite pour le «Proof of Concept» (démonstration de la vulnérabilité), ne pas se servir de comptes réels d’utilisateurs sans leur permission.


    Source : BBC

    Et vous ?

    Êtes-vous d'accord avec Facebook dans sa décision de ne pas rémunérer le chercheur ? Pourquoi ?

  2. #2
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    Mai 2004
    Messages
    2 418
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 2 418
    Points : 7 296
    Points
    7 296
    Par défaut
    Il les as méchamment vexé je pense...

    Ils sont plutôt stupide... pour économiser 10 000$, ils vont se priver de bonnes volontés dans le futur.

    Si je trouve un bug quelque part, je suis déjà bien gentil de passer du temps a le trouver, puis a le signaler...

    Faut pas en plus m’embêter avec des process qui me feront perdre du temps...

  3. #3
    Membre éclairé
    Homme Profil pro
    Enseignant
    Inscrit en
    Décembre 2007
    Messages
    206
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : Suisse

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2007
    Messages : 206
    Points : 850
    Points
    850
    Par défaut
    Une manière efficace de faire disparaître totalement une grosse tache blanche sur un chapeau noir... la prochaine fois, il trouvera certainement des gens prêts à reconnaître son travail à sa juste valeur, mais pas forcément pour le bien de tous...

  4. #4
    Membre habitué
    Profil pro
    Chef d’entreprise
    Inscrit en
    Mars 2002
    Messages
    212
    Détails du profil
    Informations personnelles :
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Chef d’entreprise

    Informations forums :
    Inscription : Mars 2002
    Messages : 212
    Points : 149
    Points
    149
    Par défaut
    Il les a surement vexé...
    En plus c'est un palestinien! Donc pourquoi le récompenser?? c'est déjà bien qu'il n'est pas mis en prison!!

  5. #5
    Membre éclairé
    Inscrit en
    Juillet 2012
    Messages
    231
    Détails du profil
    Informations forums :
    Inscription : Juillet 2012
    Messages : 231
    Points : 870
    Points
    870
    Par défaut
    Citation Envoyé par Cedric Chevalier Voir le message
    Google ou encore Facebook dépensent des sommes importantes dans des programmes permettant aux hackers de révéler des vulnérabilités qu’ils auraient découvert dans leurs produits.
    Google je veux bien.
    Mais Facebook, non : 500$
    As long as the bugs qualify under Facebook's whitehat terms and conditions, researchers can expect a reward of $500 or more.
    Bon, ce n’est que le minimum mais ça ne vole pas très haut comparé à Google par exemple…

  6. #6
    Membre éclairé
    Profil pro
    Inscrit en
    Novembre 2005
    Messages
    328
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2005
    Messages : 328
    Points : 695
    Points
    695
    Par défaut
    "CEO, bitch !"

  7. #7
    Invité
    Invité(e)
    Par défaut
    Je trouve ça très petit de la part de facebook ... mais ça m'étonne pas ...
    J'aurais été le palestinien, je l'aurais joué différemment. Je les aurais prévenu d'une faille très importante sans préciser laquelle. Soit il accepte de payer, soit l'information sera diffusée à d'autres hackers moins gentil. C'est peut être pas légal mais ça doit marcher, surtout si tu leur laisse très peu de temps pour réagir.

  8. #8
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 470
    Points
    1 470
    Par défaut
    Attention, bémole.

    Si je comprend bien ce qui est précisé ici (visiblement le propre blog de Khalil Shreateh), voilà comme il pourrait avoir contacté Facebook au début:

    (attention, la traduction est très - vraiment très - cavalière)
    Bonjour,

    J'ai un diplôme tout beau en système informatique.

    J'aimerai reporter un bug sur votre site (facebook.com) que j'ai découvert.
    Le bug permet à un utilisateur de partager des liens avec d'autres utilisateurs facebook. J'ai testé sur le mur de sarah goodin et j'ai réussi à mettre un post.

    link - > https://www.facebook.com/10151857333098885
    Fatallement, l'opérateur Facebook qui a voulu testé à eu droit un refus d'affichage... puisqu'il n'est pas amis avec Sarah Goodin, il ne peut pas voir son mur... donc pas le post en question.

    Alors, oui on peut se dire que le gas de Facebook aurait pu mieux fouiller (mais faut mettre le nombre de requêtes qu'ils reçoivent dans la balance).

    Ensuite, comme Facebook lui a répondu qu'il ne trouvait pas de bug... il a fait pareil sur le mur de Zuckerberg. Évidemment, pas besoin d'opérateur, Zuckerberg a pu s'en apercevoir tout seul.

    Finalement, il a bel est bien corrompu deux véritables comptes pour alerter Facebook. Il ne leur a jamais donné de précision sur la nature du problème, pas de proof of concept facilement vérifiable...

    Qu'aurait pu faire Facebook après tout ça ? Le récompenser ? Récompenser quelqu'un qui alerte d'une faille en l'exploitant ?

    Personnellement, je n'ai d'avis définitf sur la question, mais j'ai l'impression que l'histoire est plus grise que blanche ou noire.

  9. #9
    Inactif  
    Profil pro
    Inscrit en
    Février 2007
    Messages
    411
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Février 2007
    Messages : 411
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par ZIED Voir le message
    Il les a surement vexé...
    En plus c'est un palestinien! Donc pourquoi le récompenser?? c'est déjà bien qu'il n'est pas mis en prison!!
    Vraiment ?? C'est bien frequenté developpez.com a ce que je vois

  10. #10
    Membre expert
    Avatar de Muchos
    Homme Profil pro
    Enseignant
    Inscrit en
    Décembre 2011
    Messages
    1 704
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Ardennes (Champagne Ardenne)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Décembre 2011
    Messages : 1 704
    Points : 3 861
    Points
    3 861
    Billets dans le blog
    6
    Par défaut
    @GTSLASH: C'est de l'ironie

  11. #11
    Membre à l'essai
    Homme Profil pro
    Licencié en informatique, Conception SI et IT Essential s Cisco
    Inscrit en
    Avril 2013
    Messages
    18
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Congo-Kinshasa

    Informations professionnelles :
    Activité : Licencié en informatique, Conception SI et IT Essential s Cisco

    Informations forums :
    Inscription : Avril 2013
    Messages : 18
    Points : 10
    Points
    10
    Par défaut facevulnerable
    malgres tout! il merite ce qu'il reclame, sinon facebook manquerra plus concernant des informations du genre!!! ou soit facebook se sent umilier apres que Marck Z. ai eté piraté

  12. #12
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 146
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 146
    Points : 9 391
    Points
    9 391
    Par défaut
    Citation Envoyé par tontonnux Voir le message
    Fatallement, l'opérateur Facebook qui a voulu testé à eu droit un refus d'affichage... puisqu'il n'est pas amis avec Sarah Goodin, il ne peut pas voir son mur... donc pas le post en question.
    Un opérateur sans aucun droit sur le logiciel ? C'est comme un mécanicien sans outils pour réparer votre voiture...

  13. #13
    Membre actif Avatar de _Carole
    Femme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2013
    Messages
    105
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 33
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 105
    Points : 264
    Points
    264
    Par défaut
    J'aimerai bien connaitre le nombre de de personne dans la "security team" et le nombre de demande à traiter (Moyenne journalière? mensuelle ?)... Juste pour se faire une idée.

    Savoir combien de temps ils passent sur une demande/remarque aiderait sans doute à comprendre.

  14. #14
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2006
    Messages
    5 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Décembre 2006
    Messages : 5 239
    Points : 19 098
    Points
    19 098
    Billets dans le blog
    17
    Par défaut
    Il me semble que des hackeurs faisaient ça au début de l'informatique pour se faire embaucher, bon la, ça n'a pas trop marché

  15. #15
    Membre régulier
    Homme Profil pro
    Admin réseau, analyste-developpeur
    Inscrit en
    Avril 2013
    Messages
    73
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Burundi

    Informations professionnelles :
    Activité : Admin réseau, analyste-developpeur
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : Avril 2013
    Messages : 73
    Points : 109
    Points
    109
    Par défaut
    Je dirais que l'erreur est humaine mais perseverer dans l'erreur c'est diabolique! FACEBOOK a commis une erreur. Mais il y a encore la possibilité de la corriger en choisissant d'octroyer la recompense à notre chercheur pour le labeur qu'il y a mis. Au lieu de 10000$ on peut faire 7000$ par exemple.

  16. #16
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 470
    Points
    1 470
    Par défaut
    Citation Envoyé par transgohan Voir le message
    Un opérateur sans aucun droit sur le logiciel ? C'est comme un mécanicien sans outils pour réparer votre voiture...
    Ma phrase n'était qu'une reprise de sa propre explication.

    Sinon de façon plus large, un opérateur avec tout les droits, jamais de la vie !
    Si une opération nécessite un certain niveau de droit, alors il n'est pas question de laisser "n'importe qui" faire ce qu'il veut.
    Pour une structure et un site de l'importance de Facebook, je ne serais pas du tout étonné que les premiers à voir ces notifications n'ont qu'un périmètre de responsabilité réduit (et donc les limitations en droit qui vont avec). Ils devraient en fait servir de "filtre" pour router les demandes reconnues comme valides vers les personnes compétentes pour ne pas les polluer.

  17. #17
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 150
    Points : 28 129
    Points
    28 129
    Par défaut
    Citation Envoyé par MacDev Voir le message
    JMais il y a encore la possibilité de la corriger en choisissant d'octroyer la recompense à notre chercheur pour le labeur qu'il y a mis. Au lieu de 10000$ on peut faire 7000$ par exemple.
    La recompense de Facebook, c'est $500, pas 10 000.


    Et sinon, la question est de savoir si, pour reveler une faille, tu as le droit d'utiliser des moyens illegaux (utilisation de comptes tierces dans ce cas). FB dit que non, lui dit que oui.

    C'est un debat vieux comme le monde, et ce n'est pas ce cas la qui va le resoudre.

  18. #18
    Membre actif
    Profil pro
    Chef de projet
    Inscrit en
    Octobre 2006
    Messages
    56
    Détails du profil
    Informations personnelles :
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Chef de projet

    Informations forums :
    Inscription : Octobre 2006
    Messages : 56
    Points : 231
    Points
    231
    Par défaut
    [MODE JOKE ON]
    En plus un "palestinien" qui pirate un compte d'une personne influente d'origine "juive", il cherche les problèmes, c'est pas la prison qu'il risque d'obtenir c'est une visite d'un missile ou du mossad LOL
    [MODE JOKE OFF]

  19. #19
    Expert éminent
    Homme Profil pro
    Big Data / Freelance EURL
    Inscrit en
    Mars 2003
    Messages
    2 124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Big Data / Freelance EURL

    Informations forums :
    Inscription : Mars 2003
    Messages : 2 124
    Points : 7 291
    Points
    7 291
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    pour reveler une faille, tu as le droit d'utiliser des moyens illegaux (utilisation de comptes tierces dans ce cas). FB dit que non, lui dit que oui.

    C'est un debat vieux comme le monde, et ce n'est pas ce cas la qui va le resoudre.
    Oui mais le débat n'est pas que là. Mais "comment faire pour avertir quand l'entreprise est fermée comme une huitre et qu'on doit montrer patte blanche". Dans la vie réelle on peut informer qu'il y a un feu à une maison sans être pompier.

    Après il s'est fait un petit plaisir en piratant la page du pdg. Ce n'était pas méchant, il n'a rien cassé, mais comme il lui foutu la honte, hop banni. Pour les failles ultérieurs peut-être que les hackers sauront à quoi s'en tenir. En plus si c'est $500 il ne comptait peut-être même pas dessus.

  20. #20
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 470
    Points
    1 470
    Par défaut
    Citation Envoyé par phili_b Voir le message
    Oui mais le débat n'est pas que là. Mais "comment faire pour avertir quand l'entreprise est fermée comme une huitre et qu'on doit montrer patte blanche". Dans la vie réelle on peut informer qu'il y a un feu à une maison sans être pompier.

    Après il s'est fait un petit plaisir en piratant la page du pdg. Ce n'était pas méchant, il n'a rien cassé, mais comme il lui foutu la honte, hop banni. Pour les failles ultérieurs peut-être que les hackers sauront à quoi s'en tenir. En plus si c'est $500 il ne comptait peut-être même pas dessus.
    Facebook propose un lien qui permet de poster ce genre d'alerte. Il s'en est servi, non pas pour expliquer ce qu'il avait trouvé, mais pour dire qu'il avait trouvé quelque chose et qu'il s'en était servi.
    Si au lieu d'exploiter directement la faille sur le compte de quelqu'un, il avait décrit sa découverte en expliquant la procédure pour y parvenir, il n'y aurait eu aucun souci et il aurait eu sa "récompense".

    Découvrir une faille et l'exploiter sont deux choses distinctes.

Discussions similaires

  1. PayPal a pris plus d'un an pour corriger une faille critique
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 1
    Dernier message: 22/11/2014, 14h24
  2. Réponses: 0
    Dernier message: 18/07/2014, 13h05
  3. Facebook ignorerait une faille de sécurité dans ses API
    Par Doksuri dans le forum Actualités
    Réponses: 0
    Dernier message: 07/10/2011, 18h17
  4. Réponses: 0
    Dernier message: 23/11/2010, 13h33
  5. Réponses: 4
    Dernier message: 18/11/2009, 20h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo