"Cher Mark Zuckerberg, désolé d'empiéter sur votre vie privée en publiant sur votre mur, mais je n'avais pas d'autre choix après tous les rapports que j'ai envoyés aux équipes de Facebook." Voici les premières lignes du message que le patron de Facebook a pu lire sur son mur le 15 août dernier.

Un expert en sécurité a réussi à pirater la page du fondateur de Facebook, pour publier un message d'alerte sur la vulnérabilité du réseau social.

Le pirate, Khalil Shreateh, un professeur palestinien, a utilisé une faille (bug?) qui permet à des utilisateurs de publier des messages sur la page d'autres membres de Facebook, même s'ils ne figurent pas dans leur liste d'amis (Pour rappel, si votre profil n'est pas "public" il doit être impossible à un utilisateur lambda de poster des commentaires sur votre "mur").

Avant d'en arriver là, Khalil Shreateh a commencé par suivre la procédure habituelle en cas de découverte d'un bug.

Le pirate affirme sur son blog qu'il a été "contraint" de publier le rapport de la faille sur le profil Facebook de Mark Zuckerberg parce que le géant américain refusait de le payer.

Facebook a en effet jugé que le chercheur avait enfreint les règles d'utilisation du site et n'avait en outre pas suivi les principes d'une "divulgation responsable.

Selon un ingénieur de la firme, la faille bug a été corrigée dès le 16 août.

Depuis, Khalil Shreateh a récupéré son compte Facebook, mais, mauvaise nouvelle pour le hacker: il est accusé d'avoir violé les conditions d'utilisation du site et ne pourra recevoir les 500 dollars (somme "énorme" comparée à 5 milliards de dollars) de récompense pour sa trouvaille.

Pas sûr que Mark Zuckerberg ait apprécié la manœuvre...

On imagine combien ce type de faille peut être dangereux et puissant pour des organisations cherchant à diffuser des liens malicieux vers un grand nombre de personnes.

Là où d’autres l’auraient engagé, Facebook n’a même pas daigné le récompenser.

Cette vidéo montre comment fonctionne cette faille (bug).

Facebook a publié une note dans laquelle il admet avoir quelque peu failli dans sa communication avec le hacker Khalil Shreateh. « Nous avons trop été hâtifs voire dédaigneux » dans ce cas présent indique le réseau social.

Il précise toutefois qu'il compte améliorer son système de messagerie pour ceux qui indiquent à Facebook l'existence d'une faille de sécurité ainsi que leur manière de valider un bug.

En outre, le service ajoute qu'il mettra à jour sa page dédiée aux White Hat (hackers blancs) afin de leur fournir davantage d'informations sur les procédures de soumission d'un bug.

Cette nouvelle (que Facebook ait refusé de le rémunérer pour la découverte d’une faille) n’a visiblement pas plu à la communauté des hackers professionnels et autres chercheurs en sécurité.

Marc Maiffret, directeur technique de l’éditeur de solution de sécurité BeyondTrust, est un célèbre hacker ayant débuté sa carrière à la manière de Khalil Shreateh.

Il s’est ému de l’aventure du palestinien et a donc décidé de lancer une campagne de financement participatif (crowdfunding) sur le site GoFundMe: "He is sitting there in Palestine doing this research on a five-year-old laptop that looks like it is half broken," Maiffret said. "It's something that might help him out in a big way."

L’objectif était d’atteindre 10 000 dollars, et avec plus de 87 donateurs, il a été atteint en un peu plus de 24 heures.

Sources: The Age; ITespresso.fr; Clubic Gizmodo;...

Regrets tardifs et toujours pas de reconnaissance envers Khalil Shreateh...

kelko a écrit :

Regrets tardifs et toujours pas de reconnaissance envers Khalil Shreateh...

tu plaisantes ? le Marko s'est fait méchamment ridiculisé :

• alors blaireau, tu roules dans le pognon et tu l'affiches et tu es assez ratasse pour ne pas lacher 100 biftons ?
• alors froussard, tu vantes l'openweb et tu baisses ton froc devant la NSA, parce que ça fait iech de payer un palestinien ?
• alors pauvre Kévin, tu vantes la réactivité et le speed et tu te fais mettre dans le vent en 24h sans que tu puisses réagir et sans que tu prévois le résutat ?

Khalil Shreateh devient un héros reconnu par les hackers et en plus il a eu son pognon, qui plus est donnant une bonne image de la Palestine, ce qui n'est pas courant.

Pas vraiment.

Mon anglais est déplorable.

Etre ridiculisé est une chose, j'aurais préféré que Facebook rémunère Khalil Shreateh pour le travail fourni en exprimant de plates excuses pour le comportement qu'ils ont eut à son égard.

FB aurait pu... mais il n'a pas eu le temps. maintenant, c'est trop tard.

USD 10,000.00 c'est une goutte d'eau pour FB. tant pis pour leur image, qui n'était déjà pas fameuse. or dans le marché où évolue FB, l'image est très importante. on apparaît vite comme un ringard.

Bonsoir

-Si Shreateh a violé les termes d'utilisation de Facebook, il y a la loi de la fraude informatique (CFAA):

" Il est interdit d'accéder intentionnellement à ordinateur sans autorisation ou au-delà de l'autorisation et obtenir ainsi des informations à partir de n'importe quel ordinateur protégé..." (traduction approximative)?

- Au lieu de cela, Facebook corrige la faille (qui au départ était annoncée comme un bug bénin) et s’excuse publiquement en promettant de faire mieux à l’avenir.

Espérons que cette collecte (plus de 10000 $ env. 7 481€) apportera un peu de réconfort à ce jeune chômeur, en attendant de jours meilleurs ( embauche par une entreprise de sécurité?)

Pourtant Facebook est "philanthrope"

Edit pour orthographe.

A mon avis, il va vite trouver un job, tant mieux pour lui

Comment peut-on prouver qu'il y a une faille dans un système, si personne ne prend en compte son signalement ?

Tout est bien qui finit bien pour l'informaticien palestinien.

Khalil Shreateh a récupéré son compte Facebook, gagné 12.000 dollars, acquis une certaine notoriété et… un groupe de soutien s’est même monté sur Facebook !

Khalil apprécie ce que BeyondTrust CTO a fait pour lui et lui a exprimé sa gratitude: "Je vous remercie, et mes meilleurs voeux à tout le monde là-bas".

Il a également reçu plusieurs offres de travail dans le domaine de la sécurité.

Lorsqu'on lui a demandé ce qu'il pourrait faire avec les 12.000 $, Shreateh dit: "Ce n'est pas dans ma poche, pour le moment."

Maiffret affirme qu'il le sera bientôt.

Problème résolu.