Imaginez un instant avoir la possibilité de prendre le contrôle des serveurs internes de Facebook, l’un des géants du web. C’est exactement ce qu’a réussi à faire Ben Sadeghipour, un chercheur en sécurité, en octobre 2024. Et sa découverte lui a valu une belle récompense : un chèque de 100 000$ de la part de Meta, la maison mère de Facebook.

Une faille critique dans la plateforme publicitaire de Facebook

Tout a commencé lorsque Ben Sadeghipour analysait la plateforme publicitaire de Facebook. Il y a découvert une vulnérabilité de sécurité lui permettant d’exécuter des commandes sur le serveur interne hébergeant cette plateforme. En d’autres termes, il avait potentiellement le contrôle total de ce serveur crucial pour le business du réseau social.

La faille résidait plus précisément dans l’utilisation par Facebook d’une ancienne version du navigateur Chrome, qui présentait une vulnérabilité pourtant déjà corrigée. Cela a permis au chercheur de détourner le serveur en utilisant un navigateur Chrome « headless », c’est-à-dire une version du navigateur exécutable depuis un terminal.

Mon hypothèse est que c’est quelque chose que vous voudrez peut-être corriger car c’est directement à l’intérieur de votre infrastructure.

– Ben Sadeghipour dans son rapport à Meta

Facebook réagit rapidement pour colmater la brèche

Après avoir signalé la faille à Meta, Ben Sadeghipour indique que l’entreprise n’a mis qu’une heure pour corriger le problème. Les équipes de Facebook lui ont demandé de cesser immédiatement ses tests le temps du correctif.

Si le chercheur affirme ne pas avoir exploré toutes les possibilités offertes par cet accès privilégié, les implications sont vertigineuses. Avec un code d’exécution à distance, un attaquant pourrait théoriquement accéder à n’importe quelle partie de l’infrastructure interne de Facebook.

Les plateformes publicitaires, cibles de choix pour les hackers

Pour Ben Sadeghipour, qui a réalisé cette découverte avec un autre chercheur indépendant, Alex Chapman, les plateformes publicitaires en ligne sont des cibles particulièrement intéressantes. En effet, une quantité phénoménale de données y est traitée en arrière-plan pour diffuser ces publicités, qu’il s’agisse de textes, d’images ou de vidéos. Cela multiplie les possibilités de failles.

Le chercheur souligne d’ailleurs que d’autres plateformes similaires chez les concurrents présentent le même genre de vulnérabilités. C’est donc un véritable défi pour les géants du web de sécuriser ces infrastructures complexes, qui constituent le cœur de leur modèle économique.

Le bug bounty, un système gagnant-gagnant

Cette affaire met en lumière l’importance des programmes de bug bounty mis en place par les grandes entreprises tech. En récompensant généreusement les chercheurs qui leur signalent des failles, avant qu’elles ne soient exploitées par des hackers malveillants, elles renforcent considérablement leur sécurité.

Dans le cas de Facebook, les 100 000$ versés à Ben Sadeghipour sont un investissement plus que rentable comparé aux dégâts qu’aurait pu causer l’exploitation de cette vulnérabilité. C’est une nouvelle preuve que la collaboration entre enterprises et hackers éthiques est cruciale à l’ère du tout numérique.

En définitive, cette découverte démontre une fois de plus que même les plus grandes entreprises tech ne sont pas à l’abri de failles de sécurité majeures. Et c’est grâce à l’ingéniosité et à la perspicacité de chercheurs comme Ben Sadeghipour que nous pouvons continuer à naviguer sereinement sur internet. Un grand bravo à lui pour son travail et ce beau chèque amplement mérité !