Faille dans Facebook : entretien avec un hacker de 18 ans

publié par Bogdan Botezatu, le 26 octobre 2012

Il y a deux semaines, le jeune chercheur en sécurité Suriya Prakash est tombé sur une faille du système de recherche de Facebook, qui permettait à (presque) n 'importe qui de récolter automatiquement les noms, prénoms et numéros de téléphones associés aux comptes.

L’annonce a créé un débat intense entre internautes : bug ou option de recherche ? La publication du POC (proof of concept) a aussi soulevé des questions sur l’éthique de la recherche en sécurité, et ce que cela impliquait pour les utilisateurs et entreprises. Nous avons contacté Suriya pour en savoir plus sur lui et ses motivations : ce qu’il est, ce qu’il fait et ce qu’il aurait fait s’il avait été ingénieur pour Facebook.

Interview traduite de l’anglais, retrouvez la version originale ici.

Malware City : Comment un passionné de 18 ans réussit à « cracker » Facebook ?

Suriya Prakash : La recherche en sécurité informatique n’est pas nouvelle pour moi. J’ai commencé il y a environ deux ans et je fais beaucoup de recherches. Je me considère comme un newbie et j’apprends tous les jours. J’ai aussi réalisé des recherches sur les botnets, mais mes découvertes n’auraient pas été possibles sans mes amis Indishell et XR qui ont toujours été à mes côtés. Et bien sûr, Google – le meilleur ami des hackers.

MC : Quelle est votre opinion sur la responsabilité d’une révélation de faille de type 0-day ? Pensez-vous que les utilisateurs doivent être avertis par tous les moyens, car sans la pression des média, les entreprises ne traiteraient pas la menace sérieusement ?

SP : Disons que j’ai une certaine idée de la « reconnaissance » portée à un révélateur de faille. Mais je pense avoir donné à Facebook assez de temps et ils n’ont même pas reconnu le bug. J’ai eu de meilleures réponses de sites qui avaient moins de 1000 visiteurs par jour. Facebook doit vraiment perfectionner son équipe dédiée à la sécurité, et ce n’est pas seulement mon opinion, d’anciennes personnes qui ont travaillé chez Facebook sont également d’accord. Toutefois, comme je l’ai précisé sur mon blog, « je ne souhaitais pas rendre public cette faille, mais ils ne m’ont pas laissé le choix ».

Si les média n’avaient pas relayé l’information, cela aurait pris des lustres pour que Facebook réagisse. Quelquefois les révélations publiques font plus de bien que de mal (comme dans cette situation, où certaines personnes n’avaient pas conscience que cette option de confidentialité existait, ils ont donc fait les changements nécessaires).

MC : Quelle est votre opinion sur la prise en charge de Facebook de la situation ? Ils ont répondu aux journalistes qu’il y avait des limites mises en place pour prévenir des abus, pourtant vous avez réussi à récolter pas moins de 10 000 numéros de téléphone. Pensez-vous qu’ils aient menti ?

SP : Vous avez essayé, non ? Beaucoup de personnes dans le milieu ont essayé et ont réussi ! Et la méthode utilisée était simple. A mon avis, Facebook est « étranger à la vérité ». En deux mots, ils ont mal pris en charge le problème.

MC : Que pensez-vous que Facebook aurait du faire pour garder l’option de recherche sans porter atteinte à la confidentialité de ses utilisateurs ? Si vous deviez travailler sur une option équivalente, comment feriez-vous ?

SP : Pour commencer je ne laisserais pas le paramètre « public » par défaut – gardons toujours à l’esprit que l’utilisateur est ignorant et n’a pas le point de vue d’un codeur. J’ajouterais également deux paramètres différents pour l’e-mail et le numéro de téléphone, puisque la plupart des gens communique leur adresse e-mail mais un numéro de téléphone est déjà plus privé. Un résultat en image statique auto-générée qui ne montre pas les données dans le code source aiderait aussi à minimiser la menace. Enfin, un simple CAPTCHA aurait rendu mon exploit inutile.

MC : Comment pensez-vous que cette faille potentielle de confidentialité puisse être exploitée ? Pouvez-vous expliquer un scénario dans lequel un pirate peut tirer profit de ce genre d’informations ?

SP : J’ai vu quelques cas où les gens utilisaient ce procédé pour récupérer des numéros de téléphone professionnels. Mais je pense que cela n’a pas été exploité à son paroxysme et Facebook l’a corrigé à temps. Cela pourrait être très utile dans des attaques de phishing, où des précisions sur les données d’une personne récoltées via Facebook rendraient la tâche plus facile.

MC : Cherchez-vous en ce moment d’autres aspects de la sécurité négligés sur Facebook ? Si oui, pouvez-vous nous en parler ?

SP : Je travaille maintenant avec eux pour réparer les failles dans les filtres et en trouver d’autres qui permettraient d’attaquer le réseau. C’est tout ce que je peux vous dire pour le moment ;) .

En parlant de motivation, beaucoup de gens m’ont demandé ce que j’avais fait des données collectées pendant mon POC. Je peux leur assurer que je ne divulguerai jamais les données de quelqu’un. Tout cela est hébergé en sécurité avec un haut niveau de protection et sera sans doute détruit à l’avenir.

C’était Suriya, probablement le plus jeune hacker à avoir croisé le chemin d’une vulnérabilité de cette importance. Vous pouvez retrouver l’histoire complète sur son blog, le suivre sur Twitterou devenir son ami sur le même réseau social qui a permis sa renommée.

Bogdan Botezatu

Bogdan ne croit que ce qu'il peut démonter en petites pièces et inspecter minutieusement. Sa passion pour l'écriture et son obsession du détail font partie des ses plus grandes qualités.