Tech & internetLife

Un hacker poste sur la page Facebook de Mark Zuckerberg pour prouver qu'il a découvert un bug

Jean-Laurent Cassely, mis à jour le 21.08.2013 à 16 h 21

Facebook est-il mauvais perdant? Le réseau social affirme sur sa page consacrée à la sécurité que si un hacker découvre et l’informe d’un bug, il sera récompensé d’une somme de 500 dollars minimum.

Justement, l’ingénieur en systèmes d’information palestinien Khalil Shreateh a récemment découvert qu’il était possible de «poster» un message avec un lien sur le «mur» de tout abonné Facebook, que son profil soit protégé ou non, que vous soyez «ami» avec lui ou non. Dans un article posté sur son blog, il détaille la chronologie de sa correspondance avec Facebook et publie les captures d’écran de ses alertes, comme l’expliquent entre autre les sites The Verge et RT.

Tout d’abord, l’ingénieur envoie un message à l’équipe chargée de la sécurité, qui lui répond qu’elle ne voit pas de bug. Khalil Shreateh teste ensuite le bug sur la page de Sarah Goodin, amie de fac du fondateur de Facebook Mark Zuckerberg et première femme à créer un profil sur le réseau social lors de sa mise en ligne (33ème dans l'ordre d'inscription historique).

L'ingénieur précise alors dans sa correspondance avec Facebook qu'il pourrait tout aussi bien réitérer l'opération sur le mur du compte de Mark Zuckerberg, mais qu'il ne le fera pas car il respecte la vie privée. Il prend soin d’envoyer une capture d’écran de son action. Mais Facebook lui répond qu’il ne s’agit pas d’un bug, sans lui donner plus de précision.

Photo extraite du blog de Khalil Shreateh

Nouvelle tentative donc, avec cette fois Mark Zuckerberg lui-même.

«Cher Mark Zuckerberg, écrit-il en introduction de son post sur le mur du fondateur. Tout d’abord, désolé de violer votre vie privée et de poster sur votre mur, mais je n’avais pas d’autre choix après toutes les alertes que j’ai envoyées à l’équipe de Facebook.»

Photo extraite du blog de Khalil Shreateh

Peu après cet exploit, un ingénieur de Facebook le contacte, lui demande de lui envoyer tous les détails concernant ce bug… et le compte de Khalil est désactivé. Il reçoit par la suite un nouveau message de Facebook: l’équipe lui annonce qu’elle va rétablir son compte, mais qu’en revanche, elle ne pourra pas le rémunérer dans la mesure où ses «actions ont violé les conditions d’utilisation du service.»

Sur le site Hacker News, un membre de l’équipe de sécurité de Facebook a donné plus de précisions, reconnaissant qu’il y avait bien eu un bug et que ce dernier avait été réparé. Par ailleurs, le responsable rappelle «qu’exploiter les bugs pour affecter des utilisateurs n’est pas acceptable pour un white hat», c'est à dire un hacker qui tente de s’introduire dans des systèmes dans le but d’en éprouver la sécurité et sans intention de nuire au service. En particulier, Facebook recommande aux hackers de créer un compte-test pour reproduire un bug.

Mise à jour:

Le 21 août 2013, Reuters écrit que Marc Maiffret, hacker et responsable de la technologie de la société BeyondTrust, a lancé une souscription de 10.000 dollars pour rétribuer Khalil Shreateh. Il affirme avoir lui-même contribué à hauteur de 2.000 dollars et en avoir récupéré 9.000.

Jean-Laurent Cassely
Jean-Laurent Cassely (990 articles)
Journaliste
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte