Samip Aryal, expert en cybersécurité et figure en tête de la liste des « chasseurs de primes » de Facebook, vient de révéler l'existence d'une faille de sécurité sur le réseau social, permettant aux pirates d'exploiter les comptes de leurs victimes. Le problème a été découvert et corrigé le 2 février, mais n'a été rendu public qu'un mois plus tard (en raison des règles de sécurité).
D'après Aryal, la vulnérabilité est liée à la procédure de réinitialisation du mot de passe Facebook, via une fonctionnalité optionnelle qui envoie un code d'authentification à 6 chiffres à un autre appareil sur lequel l'utilisateur s'est déjà connecté. Ce code sert à authentifier l'utilisateur et à finaliser la réinitialisation du mot de passe sur un nouvel appareil (qui n'a jamais été utilisé auparavant).
Lors de l'analyse de la requête, il a découvert que Facebook envoie un code d'authentification fixe (dont la séquence de chiffres ne change pas), valable pendant 2 heures et ne comporte aucune mesure de sécurité pour empêcher les attaques par force brute, un type d'intrusion non autorisée qui utilise la méthode consistant à essayer toutes les chaînes de mots de passe possibles pour trouver la séquence de caractères correcte.
Un compte Facebook a été piraté simplement en scannant le code de connexion.
Cela signifie que dans les deux heures suivant l'envoi du code, un pirate peut saisir un code d'activation erroné un nombre incalculable de fois sans rencontrer la moindre mesure de protection de la part du système Facebook. Normalement, si un code ou un mot de passe erroné est saisi plus d'un nombre limité de fois, un système de sécurité suspend temporairement l'accès au compte suspect.
Deux heures, ce n'est peut-être pas beaucoup pour le commun des mortels, mais pour les hackers utilisant des outils de support, c'est tout à fait possible.
Il suffit à un attaquant de connaître l'identifiant du compte cible pour pouvoir envoyer une demande de code de vérification, puis d'appliquer la méthode de force brute en continu pendant 2 heures, jusqu'à ce qu'il soit facile de réinitialiser le nouveau mot de passe, de prendre le contrôle et de « déconnecter » les sessions d'accès du véritable propriétaire avant qu'il ne puisse faire quoi que ce soit.
M. Vu Ngoc Son, directeur technique de NCS, a déclaré que ce type d'attaque, dite « attaque zéro clic », échappe au contrôle de l'utilisateur. Elle permet aux pirates de s'emparer du compte de la victime sans aucune intervention de sa part.
« Lorsque cette faille est exploitée, la victime reçoit une notification de Facebook. Par conséquent, si vous recevez soudainement une notification de Facebook concernant la récupération de votre mot de passe, il est fort probable que votre compte soit piraté », a expliqué M. Son. L’expert a précisé qu’avec des vulnérabilités comme celle-ci, les utilisateurs ne peuvent qu’attendre que le fournisseur corrige le problème.
Facebook est un réseau social populaire dans de nombreux pays du monde , y compris au Vietnam, et ses utilisateurs y publient et y stockent une grande quantité de données personnelles. Par conséquent, les pirates informatiques cherchent souvent à attaquer et à prendre le contrôle des comptes sur la plateforme afin de commettre des fraudes.
Parmi ces arnaques, la plus répandue consiste à usurper l'identité de la victime et à contacter ses proches figurant dans sa liste d'amis pour leur demander des virements d'argent. Cette méthode, qui utilise la technologie Deepfake pour simuler des appels vidéo , a piégé de nombreuses personnes. Afin d'instaurer un climat de confiance, les escrocs achètent et vendent également des comptes bancaires au nom du titulaire du compte Facebook pour faciliter leurs agissements.
Une autre méthode consiste à pirater le compte puis à l'utiliser pour envoyer des liens ou des fichiers contenant un code malveillant, diffusés sur les réseaux sociaux. Ces codes malveillants ont pour but d'attaquer et de voler des informations personnelles (telles que les numéros de compte bancaire, les photos, les contacts, les messages et de nombreux autres types de données stockées dans la mémoire de l'appareil) après leur activation sur l'appareil cible (celui utilisé par la victime).
Lien source
![[Vidéo] L'artisanat de la peinture populaire Dong Ho a été inscrit par l'UNESCO sur la Liste des savoir-faire nécessitant une sauvegarde urgente.](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/10/1765350246533_tranh-dong-ho-734-jpg.webp)
Comment (0)