Décelée dans le cadre d’un programme de Bug Bounty organisé par Meta en 2022, la faille a finalement été corrigée avant d’avoir pu être exploitée.
C’est un bug qui aurait pu faire mal. Nichée dans le nouveau système de connexion à l’Espace Comptes déployé par Meta l’été dernier, une faille critique pouvait permettre à des hackers chevronnés de contourner la double authentification (A2F) sur Facebook.
Révélés par Gtm Mänôz, chercheur en sécurité informatique, les détails concernant la découverte et l’exploitation de la vulnérabilité mettent en cause l’absence de limite de tentatives de connexion. Dans un billet publié sur Medium, il explique avoir réussi à lier le numéro de téléphone d’une éventuelle victime à son propre Espace Compte Meta.
Concrètement, Mänôz a renseigné le numéro de téléphone auquel il aurait dû recevoir son numéro de vérification à six chiffres. Mais au lieu d’utiliser ce code unique, le chercheur a saisi 6 autres chiffres, obtenant pour simple réponse un message d’erreur l’invitant à revérifier son code de sécurité et à retenter de se connecter.
C’est ici que l’histoire aurait pu coûter cher à la société mère de Facebook. En l’absence de limite de tentatives de connexion, Mänôz a pu craquer son code de vérification par force brute, c’est-à-dire tenter autant de combinaison à six chiffres que nécessaire pour valider la double authentification.
Dans le pire des cas, une telle attaque aurait eu pour effet de désactiver l’A2F sur le compte Facebook de la victime et de contourner le système de sécurité empêchant d’associer une même adresse mail à deux comptes différents.
Action, réaction
Signalée en septembre dernier à Meta, la vulnérabilité a été corrigée par les équipes techniques un mois plus tard, permettant à Mänôz d’empocher une prime de 27 200 $. Cité par TechCrunch, Gabby Curtis, porte-parole de Meta, a confirmé que le bug n’avait pas été exploité, le nouveau système de connexion à l’Espace Comptes étant alors en phase de test auprès d’un public très restreint.
Une telle faille aurait presque pu passer inaperçue si Meta n’avait pas fait de la sécurité de ses utilisateurs son cheval de bataille. En 2021, conjointement à l’élection présidentielle, l’entreprise déployait Facebook Protect en France. Ce programme de sécurité renforcée permet aux personnes les plus exposées aux cyberattaques de consolider la protection de leurs comptes. En parallèle, l’A2F devenait progressivement obligatoire pour ces mêmes internautes, qu’ils soient responsables gouvernementaux, journalistes, militants, acteurs politiques ou encore défenseurs des droits des êtres humains.