Un bug dans l’Accounts Center de Meta a rendu temporairement vulnérables les utilisateurs de Facebook. Cela, malgré l’authentification à deux facteurs en vigueur. Meta est passé tout près d’un nouveau scandale. Un chercheur en sécurité népalais, Gtm Mänôz, s’est aperçu d’une faille critique dans l’Accounts Center de Meta. Pour rappel, il s’agit d’un système centralisé qui permet aux utilisateurs de Facebook et d’Instagram de gérer leurs identifiants. Or, il s’avère qu’un bug permettait potentiellement à des pirates de contourner l’authentification à deux facteurs, via des attaques de force brute, des comptes Facebook. Concrètement, il suffisait aux personnes mal intentionnées de tester des codes d’identification à six chiffres jusqu’à trouver le bon. Rien de sorcier, donc. Selon Gtm Mänôz, le problème venait du fait que Meta ne limitait pas le nombre de tentatives de connexion. Or, une fois le code trouvé, le numéro de téléphone de la victime est lié au compte Facebook du pirate et l’authentification à deux facteurs se désactive. Lui laissant ainsi le champ libre. Meta corrige le tir Les faits remontent à septembre 2022, mais il aura fallu attendre le mois de décembre pour que Meta mette fin au problème. Interrogé par TechCrunch, un porte-parole du géant des réseaux sociaux indique qu’au moment du bug, l’Accounts Center était encore en phase de test public à petite échelle. Autrement dit, les risques étaient minimes. D’ailleurs, l’homme précise qu’il n’existe aucune preuve d’exploitation du bug. Meta aurait vérifié l’activité de la fonctionnalité d’authentification et aucun pic n’a été observé. Ce qui tend à prouver que tout est normal. Quoi qu’il en soit, Meta s’en tire à bon compte. Et Gtm Mänôz également, puisqu’il récolte une prime de 27 000 dollars pour sa contribution. Reste que si une personne a trouvé la faille, d’autres pouvaient suivre. Et pas forcément animées des meilleures intentions. En outre, l’historique du groupe en matière de sécurité et de confidentialité n’est pas vraiment reluisant. Meta peut souffler, mais le mal est fait et la méfiance des utilisateurs ne risque pas de diminuer.