Richard Drew/AP/SIPA
Le souci, signalé en septembre, aurait pu coûter cher à la plateforme. Le groupe Meta (maison-mère de Facebook et Instagram) a versé 27 000 € au chercheur pour sa contribution.
Gtm Mänôz avait remarqué en septembre que Facebook n’avait pas imposé de limites de tentatives de connexion à double facteur lorsqu’un utilisateur voulait se connecter sur un compte, rapporte TechCrunch. Le chercheur en informatique avait alors signalé cette faille au groupe Meta.
Un pirate en possession du numéro de téléphone de l’utilisateur pouvait l’associer à son propre compte Facebook. Le nombre de tentatives pour entrer le code reçu par SMS étant illimité, il pouvait générer un nombre infini de combinaisons de chiffres permettant d’accéder au compte de l’internaute.
Lorsque le pirate obtient le bon code, le numéro de téléphone est relié à son compte. La victime reçoit alors un message de Facebook lui indiquant que le système à double authentification n’est plus valide, car le numéro est lié à un autre compte.
Meta a rapidement corrigé cette faille après avoir reçu le signalement de Gtm Mänôz. Le groupe a versé 27 000 euros au chercheur pour sa contribution. Seulement un petit nombre d’utilisateurs étaient concernés, rassure cependant la plateforme.
