Correction d’un bug sur Facebook faisant usage des SMS

Publié le 1 juillet 2013

Le hacker Fin1te a indiqué avoir découvert une faille de sécurité offrant la possibilité au cybercriminels de prendre le contrôle d’un compte Facebook par le biais de la fonctionnalité SMS dont l’objectif est de lier un compte à un terminal mobile. Cette annonce survient après que le réseau social ait apporté un correctif à ce bug.
Ce hacker britannique indique avoir perçu de la part du réseau social la somme de 200 000 dollars pour cette découverte qui aurait pu causer de grave préjudice à Facebook si elle avait été exploitée par des hackers. Cette récompense est proposée par Facebook à tous ceux qui remonteraient des failles de sécurité au sein même des services du réseau.
Selon ce hacker qui s’appelle en réalité Jack Whitten, il était possible de prendre entièrement le contrôle d’un compte Facebook en très peu de temps en exploitant cette faille.  Il suffisait d’exploiter le code assurant l’enregistrement entre un profil et un téléphone au moment de la liaison de compte en modifiant le champ très important qu’est profile_id. Pour ce qui est de la localisation de la faille, elle se situait à cette adresse /ajax/settings/mobile/confirm_phone.php. Une fois la modification de ce profil effectué, le téléphone du hacker se retrouve lié au compte utilisateur piraté, ce qui peut ensuite permettre au hacker de demander la génération d’un nouveau mot de passe lui assurant ensuite une connexion au compte ainsi piraté.
Le hacker indique avoir fait part de ce bug à Facebook à la date du 23 mai dernier pour une correction apportée le 28 mai.