L’authentification à deux facteurs est généralement considérée comme l’un des meilleurs moyens de sécuriser votre compte, mais elle n’est pas infaillible. Lors d’un incident récent, le chercheur népalais en sécurité Gtm Mänôz a découvert une faille de sécurité dans Meta nouveau système centralisé qui aurait pu permettre à des pirates malveillants de désactiver l’authentification à deux facteurs d’un utilisateur Facebook en connaissant simplement son numéro de téléphone.
Faille de sécurité dans le hub de contrôle de la confidentialité de Meta
Gtm Mänôz a découvert que la surveillance des ingénieurs de Facebook avait causé la faille de sécurité lors de la création de la fonction Centre de comptes, car ils n’avaient pas réussi à limiter le nombre de tentatives qu’un utilisateur pouvait faire lors de la saisie de son code à deux facteurs. Cela a permis à un attaquant de lier le numéro de téléphone d’une victime à son propre compte Facebook, de forcer brutalement le code SMS à deux facteurs et de désactiver l’authentification à deux facteurs de la victime.
Une fois que l’attaquant a réussi à obtenir le bon code, le numéro de téléphone de la victime est devenu lié au compte Facebook de l’attaquant. Ainsi, il est beaucoup plus facile pour les attaquants de prendre le contrôle du compte, car ils n’auraient qu’à hameçonner le mot de passe.
Heureusement, Mänôz a découvert la faille de sécurité avant tout acteur menaçant et l’a signalée à Facebook en septembre. La société a corrigé le bogue quelques jours plus tard et a accordé à Mänôz 27 200 $ pour avoir signalé le bogue. Selon un porte-parole de Meta, le système de connexion en était encore à ses premiers stades de test au moment du bogue, et il n’y avait aucune preuve d’exploitation dans la nature.
Malgré la résolution rapide du problème, il est important de reconnaître que les atteintes à la sécurité et à la confidentialité impliquant la suite d’applications de Meta ont été une préoccupation récurrente ces dernières années. Par conséquent, c’est toujours une bonne idée de mettre à jour régulièrement vos mots de passe et de ne jamais utiliser le même mot de passe deux fois. Alternativement, pour les utilisateurs qui ont du mal à se souvenir de leurs mots de passe, un gestionnaire de mots de passe comme 1Password peut faciliter cela.
