Rencontre avec le Russe qui a touché 40 000 dollars pour avoir piraté Facebook

27 janvier 2017 Ekaterina Sinelchtchikova
Que font les «chapeaux blancs», comment pirater Facebook et les choses à éviter absolument avec les mots de passe: la sécurité sur Internet dévoilée par l’expert en cybersécurité Andreï Léonov.

Andreï Léonov est celui à qui le réseau social Facebook a offert une prime de 40 000 dollars pour avoir trouvé une faille dans son système. L’information sur le hacker russe qui a touché de l’argent pour avoir piraté le plus grand réseau social du monde a été largement diffusée par les médias. Mais Andreï Léonov insiste : « Je ne suis pas un hacker, je suis expert en sécurité informatique ».

En effet, il fait partie de ces hackers dits éthiques et surnommés les « chapeaux blancs », qui réalisent des tests d’intrusion dans les programmes pour s’assurer de leur sécurité. « La règle d’or des concepteurs est de ne pas aller trop loin. Les hackers s’introduiront plus profondément, mais les concepteurs trouvent « le point d’entrée » et s’arrêtent pour « laisser faire » la société exploitante, a-t-il raconté dans une interview à RBTH.

Andreï a grandi à Saint-Pétersbourg où il a fait des études dans une université technique. Aujourd’hui, il a « plus de trente ans », dit-il évasivement. Il ne veut pas s’arrêter sur son âge et encore moins sur ses opinions politiques ou les rumeurs concernant le piratage des serveurs du Parti démocrate américain.

« Les hackers russes servent aujourd’hui d’épouvantail mis en avant comme la vodka ou les ours. Certains ont besoin d’un ennemi pour justifier telle ou telle action. Un ennemi invisible est particulièrement pratique », fait-il remarquer. Il qualifie de hobby ce qu’il a fait pour Facebook. « Je travaille seul. Les uns jouent au poker, d’autres vont à la pêche. Moi, je cherche des vulnérabilités ».

Le grand bug

« Le grand bug qui a fait gagner 40 000 dollars », a écrit le 17 janvier sur Twitter le chef du département des experts en sécurité de Facebook, Alex Stamos. « Je suis heureux d'être celui qui a brisé Facebook », a répondu Andreï Léonov dans son blog après avoir appris qu’il avait touché une prime de la part de la société. Jusque-là, la plus grosse somme payée par un réseau social avait atteint 33 500 dollars qui ont été versés en 2014 à l’expert brésilien Reginaldo Silva.

En avril dernier, d’autres spécialistes avaient découvert des vulnérabilités dans le logiciel libre ImageMagick qui permet de créer, modifier et afficher des images selon un grand nombre de formats et qui est largement utilisé par Facebook.

Andreï Léonov a constaté que la fonctionnalité de partage d’une nouvelle sur Facebook cherchait l’image principale sur des serveurs étrangers. Il s’est avéré que ni Facebook, ni la bibliothèque ImageMagick n’avaient jamais vérifié si le fichier chargé était vraiment une image au format JPEG ou autre chose.

« L’ayant remarqué, je n’ai pu m’empêcher d’examiner ce problème où un service en ligne, en l’occurrence Facebook, traite ce qu’il estime être une image que je peux pourtant manipuler et dont je peux changer le contenu », a-t-il expliqué.

Selon la communauté internationale Open Web Application Security Project (OWASP), une telle vulnérabilité est jugée dangereuse. Toutefois, ce danger dépend dans une grande mesure du lieu où le code est téléchargé.

« Imaginons qu’un ordinateur reste isolé d’Internet et de toute l’infrastructure d’une société. Dans ce cas, le téléchargement d’un code ne recèle rien de bon, mais n’est pas mortel. Or dès lors que cet ordinateur est relié à la base de données des utilisateurs, ça ira mal », a-t-il noté. Andreï Léonov a contacté le service d’assistance du réseau et l’erreur a été corrigée en novembre 2016.

Rien à voir avec un film d’action

Aujourd’hui, Andreï Léonov travaille au département de sécurité de la société internationale SEMrush, logiciel d'audit de sites Internet. Pendant son temps libre, il s’intéresse aux plateformes de crowdsourcing qui mettent en relation les entreprises désireuses de faire des tests et les professionnels et amateurs susceptibles d’y répondre. Il fait partie du top 100 des experts de la plateforme Bugcrowd qui compte parmi ses clients des géants comme General Motors, Uber, Yahoo, Pinterest et Mail.ru.

Il affirme qu’après avoir trouvé le point faible de Facebook, il n’a pas été inondé de propositions d’emplois ou de commandes et qu’il « restera ce qu’il était ».

Andreï Léonov ne croit pas à « l’école russe », il y a simplement « des gars intelligents qui naissent un peu partout ». Quant aux vulnérabilités, elles sont possibles n’importe où : « J’ai sous la main les mêmes fonctionnalités que n’importe qui. Je n’ai pas Instagram. Pas parce que c’est un mauvais programme, mais parce que je ne prends jamais de photos de nourriture ou de moi-même dans un ascenseur ».

« Je regrette qu’un utilisateur statistique moyen possède trois mots de passe tout au plus : pour deux ou trois bêtises, pour des sites importants et pour une boîte postale où sont enregistrés tous les comptes. Et encore, trois c’est dans le meilleur des cas », a-t-il fait remarquer.

Facebook n’est pas son plus grand succès. Il a remporté d’autres « victoires » dont il ne veut pas parler en affirmant que la recherche d’une vulnérabilité est une occupation rébarbative qui n’a rien de spectaculaire. « Aucune visualisation tridimensionnelle comme dans les films sur les hackers, je vous assure », sourit-il. 

Lire aussi :

Les casinos et les banques testent une nouvelle technologie de reconnaissance faciale

Reconnaissance vocale: Microsoft rivalise avec les humains grâce à une technologie russe

Droits réservés
+
Suivez-nous sur Facebook