MacBidouille

Anand Prakash, un chercheur en sécurité a dévoilé une faille de sécurité qu'il avait découverte il y a quelques temps et qui a depuis été comblée par Facebook.
La faille était liée au système de récupération de mot de passe en cas de perte de ce dernier sur le site. L'une des méthode passe par l'envoi d'un SMS contenant un code pin. Ensuite, il suffit de rentrer ce dernier sur la page idoine pour changer de mot de passe.
Bien entendu, le site de Facebook est prévu pour éviter une attaque de force brute sur son système qui est désactivé après une dizaine de tentatives infructueuses.
Le chercheur a découvert que Facebook avait oublié de mettre les mêmes garde-fous sur deux autres URL, beta.facebook.com et mbasic.beta.facebook.com. Il a donc réussi à plusieurs reprises à faire une attaque en force brute et à récupérer le mot de passe de certains comptes et donc d'en prendre le contrôle total.

La faille a depuis été comblée et Facebook lui a versé 15 000 dollars, somme promise pour la découverte de toute faille de sécurité sur son site.

Globalement, tous les gros éditeurs informatique promettent maintenant ce genre de récompenses, sauf Apple qui non seulement met parfois un temps totalement indécent à combler des failles mais se refuse totalement à proposer une incitations financières aux hackers pour toute faille découverte.

PS: Voici une vidéo de l'attaque en force brute avant que le système n'ait été patché par Facebook.