“Laissez vos doigts courir, mais pas sur le code des autres !” Voilà le mantra que Ben Sadeghipour, chercheur en sécurité, pourrait adopter après sa récente découverte d’une faille sur le serveur interne de Facebook en octobre 2024. Imaginez-vous, il travaillait sur la plateforme publicitaire de Facebook lorsqu’il s’est retrouvé avec les clés du royaume informatique de Meta. La conséquence ? Contrôle total du serveur incriminé, ni plus ni moins !
Mais avant que vous n’imaginiez Ben avec une cape de super-héros tech, rétablissons les faits : une heure après avoir signalé le problème au géant des réseaux sociaux, la faille était colmatée. Ou comment se débarrasser d’un bug en un temps record. En guise de remerciement, Meta lui a offert un joli chèque de 100 000 dollars en guise de prime, un « bug bounty » bien mérité. On peut le dire : Ben a trouvé le jackpot numérique du code.
Au cœur de la tempête numérique, un petit bug peut révéler un grand secret.
Qu’est-ce qui a cloché ? Selon les dires de Ben, le serveur publicitaire de Facebook était vulnérable à une faille ancienne de Chrome. Facebook, utilisant ce navigateur pour sa publicité, avait laissé cette brèche béante. Ben et son acolyte, Alex Chapman, ont su tirer parti de cette vulnérabilité en exploitant un navigateur Chrome « sans tête », une version que l’on manipule directement en ligne de commande. En somme, ce duo a démontré que la pub en ligne est parfois plus savoureuse qu’une pomme d’amour toxique.
Sadeghipour nous a confié que bien qu’il ait pu tester le potentiel de sa découverte, il n’a pas voulu explorer toutes les possibilités. “Ce qui rend la situation périlleuse, c’est que cela faisait probablement partie de l’infrastructure interne”, a-t-il déclaré. Comme quoi, savoir s’arrêter à temps est aussi une vertu chez les hackers éthiques.
Sans surprise, Meta a haussé les sourcils à cette révélation, et malgré la demande de commentaires par TechCrunch, leur porte-parole, Nicole Catalano, est restée silencieuse, ou peut-être méditative, qui sait ? Et ce n’est pas tout, car selon Ben, d’autres plateformes publicitaires — pas uniquement celles de Meta — pourraient être aussi vulnérables. Cela suggère que dans le petit monde des publicités numériques, les attentes sont souvent plus grandes que les mises à jour de sécurité.
Source : Techcrunch
