Un hacker palestinien a pu pirater le compte de Mark Zuckerberg en utilisant une faille dans le réseau social Facebook.
On appelle "faille" ce qui permet aux hackers de contourner les règles de sécurité Facebook et de publier un post sur le mur des utilisateurs Facebook qui ne se trouvent pas dans leur liste d’amis.
Âgé de 30 ans et prodige en informatique, Khalil Shreateh a testé cette faille une première fois sur le profil d’une femme dénommée Sarah Gooden, qui fit ses études dans la même université que le PDG de Facebook, Marc Zuckerberg.
La vulnérabilité signalée est un fichier compser.php. Le hacker palestinien affirme sur son blog qu’il a été contraint de publier le rapport sur le profil Facebook de Mark Zuckerberg après que l’équipe de sécurité du réseau social n’ait pas reconnu que c’était une faille permettant à quiconque de poster sur le mur de quelqu’un d’autre, même s’ils ne sont pas amis sur Facebook.
Khalil a contacté l’équipe de sécurité Facebook à qui il a présenté l’exploit, une procédure qui permet aux développeurs de recevoir une prime d’environ 500 dollars. Manque de chance, un ingénieur lui rétorque que « ceci n’est pas une faille ».
Khalil décide alors de mettre en pratique son exploit sur le profil du PDG. Il parvient à rédiger un message, puis à le publier sur le mur de Zuckerberg :
Il est ensuite contacté par Facebook qui s’empresse de clôturer son compte. Un ingénieur lui explique que sa faille n’était pas correctement étayée dans le « bug report », d’où la difficulté pour les équipes de le prendre au sérieux. De fait, il ne recevra pas sa récompense de 500 dollars, pour cause de non-respect des conditions d’utilisation de Facebook.
La vidéo suivante montre comment fonctionne cette faille, bien que Facebook ait confirmé l’avoir corrigée :
NDLR : les textes qui apparaissent dans cette vidéo sont en anglais et en arabe.