Facebook encourage ses utilisateurs à renseigner leur numéro de téléphone pour renforcer la sécurité de leur compte. Et si cela ouvrait en réalité la porte aux pirates ? Grâce à un ancien numéro de téléphone réattribué à une nouvelle personne, les pirates informatiques pourraient accéder au compte Facebook des utilisateurs qui ont relié ce numéro à leur compte, d'après un expert en technologies.
Un simple SMS pour hacker un compte. Le réseau social permet à tout utilisateur de récupérer son mot de passe oublié en recevant un sms contenant un code à renseigner pour pouvoir de nouveau accéder à son compte. Un système bien pratique lorsque l'on a un trou de mémoire. Mais d'après James Martindale, cela permettrait aussi aux pirates d'accéder aux données personnelles des utilisateurs.
Le danger ? Les numéros de téléphones réattribués. Dans un post sur Medium (en anglais), le jeune homme assure être lui-même parvenu à pirater des comptes. Il lui a suffit d'acheter un nouveau smartphone, auquel un numéro est attribué. Comme ceux-ci sont souvent recyclés, il a supposé que ce numéro avait eu un propriétaire précédent adepte de Facebook et qui l'aurait toujours relié à son profil.
James Martindale a simplement fait une recherche sur le réseau social en cherchant l'utilisateur qui a associé ce numéro à son compte puis il a fait une demande de mot de passe oublié. Il a ensuite suivi le protocole qui lui a permis d’accéder au compte de sa victime.
Une technique de piratage potentiellement très rentable. Avec cette technique, somme toute assez simple, James Martindale assure que des pirates pourraient gagner beaucoup d'argent. "Je vous garantis que quelqu'un a déjà senti l'argent, l'a compris, et est en train de chercher des comptes qu'il peut revendre", anticipe-t-il.
Le conseil de Facebook, mettre à jour son nouveau numéro. Dans une déclaration transmise au journal britannique The Register, Facebook rappelle que de nombreux services en ligne proposent de récupérer des mots de passe par sms. Le réseau social conseille donc de relier son compte à son dernier numéro de téléphone sans tarder. "Nous encourageons les gens à ne répertorier que les numéros de téléphone actuels, et si nous détectons la tentative de récupération de mot de passe comme 'suspecte', nous pouvons demander à la personne pour plus d'informations".