Comment un individu aurait pu prendre le contrôle de n’importe quel compte Facebook Pro ?

Réseaux sociaux

Les failles de sécurité au sein du réseau social Facebook se suivent sans forcément se ressembler. La dernière en date a, heureusement, été découverte et signalée par un chercheur bienveillant. En effet, elle aurait permis à n’importe qui sur Facebook de devenir, lui-même, administrateur d’un compte Facebook Pro !

compte facebook pro

Les failles de sécurité, au sein du réseau social Facebook, continuent de faire leur apparition invariablement. La dernière en date, heureusement découverte et signalée par un chercheur “white hat“, aurait permis à n’importe qui sur Facebook de devenir lui-même (ou n’importe qui d’autre) administrateur d’un compte Facebook Pro.

Les comptes professionnels de Facebook sont conçus pour permettre aux entreprises, aux organismes de bienfaisance et aux divers éditeurs de gérer leur présence sur le réseau social. Les administrateurs peuvent gérer la publicité, envoyer des messages aux abonnés, publier des mises à jour sur les pages Facebook, et ajouter et supprimer d’autres personnes autorisées à gérer le compte Facebook Pro.

Philippe Harewood, expert en sécurité, explique sur son blog qu’il a découvert un moyen d’importer des administrateurs vers un compte Facebook Pro par le biais d’un appel passé au niveau du site web du réseau social et dépourvu de tout contrôle d’accès. Cela a permis d’ajouter n’importe qui en tant qu’administrateur au niveau de n’importe quel compte Facebook Pro, a-t-il affirmé.

L’attaque peut être exécutée en envoyant un simple post HTTP vers le site de Facebook contenant l’ID de l’entreprise ciblée, l’ID du compte de l’attaquant et un ID de session. Dans une vidéo de démonstration sur le blog, il montre lui-même comment envoyer un post HTTP à Facebook, puis comment le nouvel administrateur est ajouté dans le Business Manager de Facebook.

Il a dit :

Cela aurait pu permettre à un attaquant dépourvu de tout rôle existant, de prendre le contrôle de n’importe quel compte Facebook Pro et d’avoir accès à divers actifs professionnels (pages Facebook, comptes publicitaires, applications, comptes Instagram) connectés à l’entreprise.  

Harewood a déclaré avoir signalé cette vulnérabilité à Facebook le 9 octobre et que la plateforme sociale avait ouvert une enquête le même jour. Cette dernière l’a corrigée dans les six jours ouvrables et lui a ensuite octroyé une prime de 27 500$ (environ 24 000€).

Il est l’une des 139 personnes que Facebook a remerciées sur sa page d’appréciation de son programme bug bounty cette année. L’année dernière, la récompense moyenne par soumission est passée à environ 1 900$ (environ 1670€), a annoncé l’entreprise. Elle a versé plus de 880 000$ (à peu près 774 000€) aux chercheurs, soit plus de 6,3 millions $ (soit environ 5,5 millions €).

Harewood n’est pas le seul chercheur à avoir découvert une faille béante dans les défenses de Facebook, qui aurait pu permettre à un cybercriminel isolé d’affecter un bon nombre de ses enregistrements :

Supprimer une page. En 2016, Sophos a signalé une prime “bug bounty” de 16 000$ (environ 14 000€) versée à un chercheur qui avait découvert comment supprimer une page Facebook. Cette attaque permettait à un individu d’ajouter une page Facebook à son compte Facebook Business Manager avec des droits de gestion, puis de faire ce qu’il souhaitait par la suite, y compris modifier son contenu ou le supprimer complètement. Ce chercheur a reçu 16 000$ pour avoir découvert cette faille.

Supprimer une image. En novembre dernier, un chercheur a reçu une prime “bug bounty” de 10 000$ (environ 8 800€) de la part de Facebook après avoir trouvé un moyen d’exploiter des références d’objets directs non sécurisées, permettant ainsi à un utilisateur de modifier l’ID d’un objet qu’il possédait, pour faire référence à un autre objet, puis de le manipuler sans autorisation. Dans ce cas, le bug lui aurait permis de supprimer n’importe quelle image de la base de données de Facebook.

Supprimer une vidéo. Un peu plus tôt cette année, un autre chercheur a découvert comment supprimer sans autorisation une vidéo du réseau social. Ce bug impliquait la publication d’une vidéo concernant un événement public, puis le remplacement de l’ID de cette vidéo via un post HTTP par l’ID de la vidéo que l’attaquant voulait supprimer. Facebook remplacerait alors la vidéo dans la publication de l’événement par la vidéo ciblée, que l’attaquant pourrait ensuite effacer. Cette découverte a également débouché sur une récompense de 10 000$ (environ 8 800€).

Toutes ces failles ont été découvertes par des chasseurs “bug bounty” qui cherchaient à remplir leur mission au mieux. Celle qui s’est démarquée récemment, en échappant à priori à cette philosophie bienveillante, est la faille découverte dans la fonctionnalité “Voir en tant que” de Facebook, exploitée par des pirates et ayant permis de compromettre environ 50 millions de comptes. Les individus qui ont découvert cette faille ont décidé d’utiliser ce bug à des fins personnelles, plutôt que de le divulguer de manière responsable au réseau social.

Pour arrêter ces attaques systémiques, Facebook doit avoir de la chance à chaque fois. Les “black hats” doivent juste être chanceux une seule fois, en découvrant un problème exploitable de manière systémique avant un “white hat“. Compte tenu de la quantité de données personnelles sensibles présentes sur le réseau social, il s’agit tout de même d’une perspective des plus inquiétantes !


Billet inspiré de How one man could have taken over any business on Facebook, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.