Tech&Co
Replay Direct tv DirectTV
Facebook

Un bug de Facebook a permis de contourner le système de double authentification

Le
La plateforme précise également que le double connexion n'était qu'un petit test ne regroupant que quelques utilisateurs.

La plateforme précise également que le double connexion n'était qu'un petit test ne regroupant que quelques utilisateurs. - AFP

Un tel bug aurait permis à des pirates informatiques de désactiver l’authentification à deux facteurs d’utilisateurs. Facebook assure que l’incident a été résolu quelques jours plus tard.

La double authentification ne garantie pas toujours plus de sécurité. Le chercheur en informatique Gtm Mänôz s’est aperçu en septembre dernier que Meta (la maison-mère de Facebook) n’avait pas imposé de limites de tentatives de connexion à double facteur lorsqu’un utilisateur veut se connecter au Meta Account Center, rapporte le média spécialisé TechCrunch

Le Meta Account Center est la plateforme qui permet de relier ses comptes Facebook et Instagram. Équipé du numéro de téléphone de l’utilisateur, le pirate informatique associe ce numéro à son propre compte Facebook. Le nombre de tentatives pour entrer le code reçu par SMS étant illimité, le pirate peut générer, à l’aide d’un système, un nombre infini de combinaisons de chiffres qui permettent d’accéder au compte. 

Une fois le bon code obtenu, le numéro de téléphone est relié au compte du pirate informatique. Facebook envoie alors un message à la victime lui indiquant que le système à double authentification n’est plus valide car le numéro est lié à un autre compte. Le pirate peut ensuite accéder au compte uniquement en hameçonnant le mot de passe. 

Aucun incident majeur

Gtm Mänôz a reçu 27.000 euros de la part de Facebook pour avoir signalé ce bug. De son côté, Facebook assure à TechCrunch que la faille a été corrigée quelques jours seulement après le signalement. La plateforme précise également que la double connexion n'était qu'un petit test ne regroupant que quelques utilisateurs. L’enquête interne a également révélé qu’il n’y avait aucune preuve d’exploitation de grande ampleur de cette faille. 

Un bug qui a le mérite d'être signalé puisque Facebook a été visé par une enquête européenne en avril 2021 à la suite d'une fuite de données survenue en 2019 qui a exposé les numéros de téléphone de 533 millions d'utilisateurs du réseau social, dont ceux de 20 millions de Français.

Sur le même sujet

En 2021, avec son système Facebook Protect, le réseau social avait incité à utiliser la connexion à deux facteurs pour les comptes jugés à haut risque de piratage.

dossier :

Facebook

Margaux Vulliet

A la Une

Cinq cercueils retrouvés devant la tour Eiffel, une enquête ouverte pour une "éventuelle ingérence étrangère"