Fan de sécurité: Il a hacké Facebook et découvert la présence d’un autre hacker

A lire aussi

Photo AFPI facebook

Le réseau social minimise la situation et soutient qu’il s’agissait d’un test de vulnérabilité effectué par un chercheur en sécurité. Mais plusieurs éléments font penser qu’il s’agissait plutôt d’un pirate.

C’est une découverte peu banale qu’a fait Orange Tsai, un chercheur en sécurité taïwanais de la société Devcore. Il y a quelques mois, attiré par le programme de rétribution « Bug Bounty » de Facebook, ce hacker a réussi à pénétrer avec succès dans le réseau interne du réseau social après y avoir découvert une faille de sécurité. Ce qui lui a valu une récompense de 10.000 dollars. Jusque-là, rien de bien étonnant.

Ce qui l’est davantage, c’est que M. Tsai n’a pas été le premier dans la place. Après avoir accédé à l’un des serveurs opérés par Facebook, il découvre une porte dérobée mise en place par un hacker qui l’a précédé de plusieurs mois. Visiblement, celui-ci n’avait pas tout à fait le même sens éthique, car il a utilisé son malware pour collecter et exfiltrer des mots de passe d’employés Facebook. Et selon M. Tsai, il n’est pas impossible que les mots de passe volés aient pu donner accès à des ressources sensibles telles que la messagerie d’entreprise ou le réseau VPN interne.

Intrusion ou test de sécurité ?

L’entreprise Facebook a-t-elle donc été victime d’une intrusion majeure ? Le géant de la Silicon Valley, en tous les cas, minimise totalement l’affaire. « Après enquête, il s’avère que l’activité découverte par Orange provenait en fait d’un autre chercheur en sécurité qui participe également au programme Bug Bounty. Aucun de ces deux chercheurs n’a été capable de compromettre d’autres parties de notre infrastructure. Selon nous, c’est un double gain : deux chercheurs compétents ont analysé notre système, l’un d’entre eux nous a renvoyé ce qu’il a trouvé et il a reçu une bonne récompense, aucun des deux n’a été capable d’aller plus loin », explique sur un ton ostensiblement optimiste Reginaldo Silva, ingénieur sécurité chez Facebook, sur Reddit.

Mais cette réponse est plutôt étrange. Un « chercheur compétent » ne ferait pas ce qu’a fait le premier hacker, car cela va à l’encontre du règlement du programme de rétribution « Bug Bounty ». Ce dernier spécifie, entre autres, qu’il est interdit d’exploiter une faille trouvée dans le système et qu’il faut éviter des infractions de confidentialité. Or, installer une porte dérobée et collecter des mots de passe fait partie de ces deux catégories.

Partant de là, plusieurs hypothèses sont possibles. Soit le mystérieux hacker n’était pas malveillant, mais dans ce cas son analyse a vraiment dépassé les bornes et Facebook ne devrait pas le qualifier de « compétent ». Soit le hacker était malveillant et Facebook nous raconte des salades. Malheureusement, le réseau social ne s’exprime pas davantage sur ce sujet.

Signalons, enfin, que la faille découverte par M. Tsai ne figurait pas dans un logiciel développé par Facebook, mais dans celui d’une société tierce, à savoir Accellion Secure File Transfer. Il permet aux employés de Facebook de partager et synchroniser des fichiers.

Sources :
Note de blog d'Orange Tsai, Reddit

Source: 
IMFURA