IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un chercheur trouve un bogue dans le système de réinitialisation de mot de passe de Facebook


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 354
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 354
    Points : 154 782
    Points
    154 782
    Par défaut Un chercheur trouve un bogue dans le système de réinitialisation de mot de passe de Facebook
    Un chercheur trouve un bogue dans le système de réinitialisation de mot de passe de Facebook
    qui permet de réinitialiser celui de n'importe quel utilisateur

    Anand Prakash, un chercheur indépendant en sécurité vivant à Karnataka (un État situé dans le sud de l'Inde), a trouvé une vulnérabilité dans Facebook qui pouvait être utilisée pour pirater relativement facilement un compte sans l'interaction de l'utilisateur. Le bogue se situait au niveau de la réinitialisation des mots de passe.

    Le procédé de la réinitialisation de mot de passe sur Facebook est simple et classique : il suffit d'accéder à l’écran de connexion Facebook, en haut à droite de cliquer sur « Mot de passe oublié ? », saisir l’adresse mail, le numéro de téléphone, le nom complet ou le nom d’utilisateur associés à votre compte, puis de cliquer sur Recherche. Une série d'instructions seront alors données à l'utilisateur qui sera invité à les suivre. Après cela, l'utilisateur recevra un code à six chiffres par SMS ou à son adresse mail qu'il devra entrer dans le formulaire de réinitialisation du mot de passe, clé qui lui permettra alors de définir un nouveau mot de passe.

    Le problème ? Aucune limite du nombre d'essais n'avait été définie sur les sites bêta de Facebook (beta.facebook.com et mbasic.beta.facebook.com) contrairement au site principal facebook.com. Ces plateformes servent de zone de test pour les utilisateurs qui veulent faire l'expérience des nouvelles fonctionnalités du numéro un du réseau social avant qu'elles ne soient déployées sur le site principal.

    En se servant d'un script, il a lancé une attaque par force brute sur la plateforme de test, l'objectif étant d'essayer toutes les combinaisons possibles de ces six chiffres en question. Une fois le mot de passe réinitialisé sur la plateforme de test, il a pu s'en servir sur le site principal de Facebook. En guise de test, il a essayé sur son propre compte avec succès : cette vulnérabilité « m'a donné un accès total à d'autres comptes utilisateur en définissant un nouveau mot de passe. J'étais en mesure de voir les messages, les informations relatives aux cartes de paiement sauvegardées dans la section paiement, les photos personnelles, etc. ». Ladite attaque n'a pas fonctionné sur le site principal qui l'a automatiquement bloquée après 10 ou 12 entrées invalides.

    Il a prévenu Facebook le 22 février dernier, l'entreprise a reconnu l'existence de la faille et a résolu le problème le lendemain. En guise de récompense, le chercheur a reçu 15 000 dollars (environ 13 600 euros) pour sa découverte. Ci-dessous une vidéo enregistrée par le chercheur en guise de preuve de concept.


    Source : blog Anand Prakash
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé

    Homme Profil pro
    Développeur Web
    Inscrit en
    octobre 2007
    Messages
    730
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2007
    Messages : 730
    Points : 758
    Points
    758
    Par défaut
    Outre la faille, je trouve assez délirant que, sur la plateforme de test, on se serve des mêmes identifiants/données que sur la version normale...

    Après tout, la version de test n'est-elle pas, par concept, plus sujette à des vulnérabilités de ce genre?
    Afin d'obtenir plus facilement de l'aide, n'hésitez pas à poster votre code de carte bancaire

    Mon GitHub

    Une alternative à jQuery, Angular, Vue.js, React, ... ? Testez anticore, en quelques secondes à peine !
    (Contributions bienvenues)

  3. #3
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 293
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 293
    Points : 12 913
    Points
    12 913
    Par défaut
    Certes mais ça permet d'avoir des données nombreuses et réalistes, ce qui est aussi utile pour les tests.

  4. #4
    Futur Membre du Club
    Homme Profil pro
    Webmaster
    Inscrit en
    novembre 2015
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Webmaster

    Informations forums :
    Inscription : novembre 2015
    Messages : 2
    Points : 8
    Points
    8
    Par défaut
    " ça permet d'avoir des données nombreuses et réalistes, ce qui est aussi utile pour les tests "

    et voilà comment la sécurité perd son statut prioritaire... Il y a des concessions qui devrait être remises en cause, surtout lorsque cela touche le caractère privé de l'information car l'article ne parle pas de comptes "bateaux" mais des comptes personnels des utilisateurs.

    Je pense qu'une "zone de test" doit avoir une vision limitée des informations liées aux comptes des utilisateurs. D'autre part, il paraît indispensable de dissocier les mdp de l'accès officiel et de la version bêta.
    Bien sûr j'ai conscience que du point de vue de l'utilisateur cela rajoute encore une ligne au carnet des mot-de-passe, mais tenons compte du fait que l'accès à la zone bêta est à l'initiative de l'utilisateur.

    Dans tous les cas, chapeau bas monsieur Prakash !

  5. #5
    Membre confirmé
    Profil pro
    Expert technique .NET
    Inscrit en
    août 2007
    Messages
    272
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Expert technique .NET

    Informations forums :
    Inscription : août 2007
    Messages : 272
    Points : 524
    Points
    524
    Par défaut
    Citation Envoyé par Uther Voir le message
    Certes mais ça permet d'avoir des données nombreuses et réalistes, ce qui est aussi utile pour les tests.
    Ben le floutage de données, c'est fait pour ça, non ?

  6. #6
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 293
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 293
    Points : 12 913
    Points
    12 913
    Par défaut
    C'est pour ça que j'ai précisé "réaliste". Parce que anonymiser les données Facebook, tout en gardant de résultats réalistes et sans créer d’incohérences, c'est peut-être faisable, mais ça serait un travail colossal. Et de toute façon, là il s'agit visiblement pas d'un outil de test interne, mais de beta-test a grande ampleur, donc les utilisateurs/testeurs s'attendent à des données qui ne sont pas brouillés.

    Facebook a commis une erreur et le fait que ça vienne du site beta n'est pas une excuse. La sécurisation de la partie d'accès aux données du site beta se devait d'être aussi bonne que tous les autres moyens d'accéder aux données comme le site officiel ou les API Web.

  7. #7
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 728
    Points
    4 728
    Billets dans le blog
    6
    Par défaut
    à croire que au moment ou ils on mis la limite d'essais sur le site principal ils aient oublié de le copié sur le moteur du site d'essais public
    Rien, je n'ai plus rien de pertinent à ajouter

  8. #8
    Membre du Club Avatar de Gabin F
    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    mars 2016
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Allemagne

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2016
    Messages : 10
    Points : 50
    Points
    50
    Par défaut
    Visiblement la vidéo a été supprimée. Je me demande bien pourquoi

  9. #9
    Membre du Club
    Profil pro
    ingénieur
    Inscrit en
    octobre 2004
    Messages
    55
    Détails du profil
    Informations personnelles :
    Localisation : France, Côtes d'Armor (Bretagne)

    Informations professionnelles :
    Activité : ingénieur

    Informations forums :
    Inscription : octobre 2004
    Messages : 55
    Points : 64
    Points
    64
    Par défaut

  10. #10
    Membre averti
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    183
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 183
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par Lcf.vs Voir le message
    Outre la faille, je trouve assez délirant que, sur la plateforme de test, on se serve des mêmes identifiants/données que sur la version normale...

    Après tout, la version de test n'est-elle pas, par concept, plus sujette à des vulnérabilités de ce genre?
    On est sur un forum de développeurs? Personne ne sais faire la différence entre un environnement de test fermé et une beta publique? Le fait que les paramètres de secu n’étaient pas autant élevés que sur la version officielle est certes problématique, mais disposer d'un programme beta publique est la moindre des choses pour tout software qui se respecte.

  11. #11
    Nouveau Candidat au Club
    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    août 2011
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 70
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : Directeur des systèmes d'information
    Secteur : Industrie

    Informations forums :
    Inscription : août 2011
    Messages : 1
    Points : 0
    Points
    0
    Par défaut Changement de mot de passe non désiré sur mon compte Facebook
    Bonjour,
    Je ne sais pas si c'est en relation avec ce bug, mais mon mot de passe a été changé hier matin de manière non désirée par une adresse IP : 175.45.195.206
    Cordialement,
    Christian

  12. #12
    Candidat au Club
    Homme Profil pro
    Développeur Java
    Inscrit en
    août 2015
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Burkina Faso

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : Service public

    Informations forums :
    Inscription : août 2015
    Messages : 3
    Points : 4
    Points
    4
    Par défaut
    cette vulnérabilité « m'a donné un accès total à d'autres comptes utilisateur en définissant un nouveau mot de passe. J'étais en mesure de voir les messages, les informations relatives aux cartes de paiement sauvegardées dans la section paiement, les photos personnelles, etc. ».

    Le code à six chiffre n'est il pas lié à un seul compte?

  13. #13
    Inactif  
    Homme Profil pro
    Analyste-Programmeur / Intégrateur ERP
    Inscrit en
    mai 2013
    Messages
    2 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-Programmeur / Intégrateur ERP
    Secteur : Bâtiment

    Informations forums :
    Inscription : mai 2013
    Messages : 2 511
    Points : 10 180
    Points
    10 180
    Par défaut
    Citation Envoyé par trasmiro Voir le message
    cette vulnérabilité « m'a donné un accès total à d'autres comptes utilisateur en définissant un nouveau mot de passe. J'étais en mesure de voir les messages, les informations relatives aux cartes de paiement sauvegardées dans la section paiement, les photos personnelles, etc. ».

    Le code à six chiffre n'est il pas lié à un seul compte?
    Si, mais il n'a pas eu accès aux autres comptes avec son code à lui, il a utilisé la faille pour faire du brute force sur d'autres comptes.

    (sachant que de toutes façons, ce code doit avoir une durée de vie limitée dans le temps, tu ne peux pas gérer plusieurs millions de personne avec un code à 6 chiffres, donc oui, à un moment T1 le code 175894 sert à réinitialiser le mdp de mr Dupont, et à un moment T2, ce code sert à réinitialiser le mdp de mme Michu, mais si tu essais de réinitialiser le mdp de mme Michu au moment T1, en même temps que celui de mr Dupont, elle aura un autre code).

    Enfin, moi c'est comme ça que je le comprend.

  14. #14
    Rédacteur/Modérateur
    Avatar de Logan Mauzaize
    Homme Profil pro
    Architecte technique
    Inscrit en
    août 2005
    Messages
    2 894
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : Transports

    Informations forums :
    Inscription : août 2005
    Messages : 2 894
    Points : 7 213
    Points
    7 213
    Par défaut
    Je ne connais pas Facebook Beta, mais ca ne serait pas de l'A/B Testing ?

    Dans ce cas c'est essentiellement du cosmétique et il n'y a pas d'enjeu particulier. Quoiqu'il en soit le même niveau de sécurité doit être appliqué pour toutes les parties qui utilise le même système de sécurité. D'ailleurs cela prouve qu'il y a une décorrélation et qu'on est pas à l'abri d'un autre exploit.
    Java : Cours et tutoriels - FAQ - Java SE 8 API - Programmation concurrente
    Ceylon : Installation - Concepts de base - Typage - Appels et arguments

    ECM = Exemple(reproduit le problème) Complet (code compilable) Minimal (ne postez pas votre application !)
    Une solution vous convient ? N'oubliez pas le tag
    Signature par pitipoisson

Discussions similaires

  1. Réponses: 64
    Dernier message: 15/02/2020, 18h39
  2. Système d'envoi de mot de passe valable N minutes
    Par popovitch130 dans le forum Langage
    Réponses: 2
    Dernier message: 15/09/2008, 10h36
  3. [VBA]Comment, dans le code VBA, hasher un mot de passe ?
    Par lord abortion dans le forum VBA Access
    Réponses: 6
    Dernier message: 18/04/2007, 16h41
  4. Rentrer dans un compte, sans effacer le mot de passe?
    Par Lanny dans le forum Windows XP
    Réponses: 7
    Dernier message: 09/01/2006, 00h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo