En octobre 2024, le chercheur en sécurité Ben Sadeghipour analysait la plateforme publicitaire de Facebook lorsqu'il a découvert une vulnérabilité de sécurité qui lui a permis d'exécuter des commandes sur le serveur interne de Facebook hébergeant cette plateforme, lui donnant essentiellement le contrôle du serveur.
Après avoir signalé la vulnérabilité au propriétaire de Facebook, Meta, ce qui, selon Sadeghipour, a pris seulement une heure pour la corriger, le géant des réseaux sociaux lui a attribué une prime de bug de 100 000 $.
“Mon hypothèse est que c'est quelque chose que vous voudriez corriger car cela se trouve directement dans votre infrastructure,” a écrit Sadeghipour dans le rapport qu'il a envoyé à Meta, a-t-il dit à TechCrunch. Meta a répondu à son rapport, demandant à Sadeghipour de “s'abstenir de tester plus loin” pendant qu'ils corrigent la vulnérabilité.
Le problème, selon Sadeghipour, était qu'un des serveurs que Facebook utilisait pour créer et diffuser des publicités était vulnérable à une faille précédemment corrigée trouvée dans le navigateur Chrome, que Facebook utilise dans son système publicitaire. Sadeghipour a déclaré que ce bug non patché lui a permis de le pirater en utilisant un navigateur Chrome headless (essentiellement une version du navigateur que les utilisateurs exécutent depuis le terminal de l'ordinateur) pour interagir directement avec les serveurs internes de Facebook.
Sadeghipour, qui a découvert la vulnérabilité de Facebook en travaillant avec le chercheur indépendant Alex Chapman, a déclaré à TechCrunch que les plateformes de publicité en ligne constituent des cibles intéressantes car, “il se passe tellement de choses en arrière-plan pour créer ces 'publicités' - qu'il s'agisse de vidéos, de textes ou d'images.”
“Mais au coeur de tout cela, il y a beaucoup de données traitées du côté serveur et cela ouvre la porte à de nombreuses vulnérabilités,” a déclaré Sadeghipour.
Le chercheur a déclaré qu'il n'avait pas testé tout ce qu'il aurait pu faire une fois à l'intérieur du serveur Facebook, mais “ce qui rend cela dangereux, c'est que cela faisait probablement partie d'une infrastructure interne.”
“Puisque nous avons l'exécution de code, nous aurions pu interagir avec n'importe lequel des sites au sein de cette infrastructure,” a déclaré Sadeghipour. “Avec une vulnérabilité d'exécution de code à distance, vous pouvez contourner certaines de ces limitations et également extraire directement des choses du serveur lui-même et des autres machines auxquelles il a accès.”
La porte-parole de Meta, Nicole Catalano, a accusé réception de la demande de commentaire de TechCrunch, mais n'a pas commenté d'ici l'heure de la publication.
Sadeghipour a également déclaré que des plates-formes publicitaires similaires exploitées par d'autres entreprises et qu'il a examinées sont vulnérables à des vulnérabilités similaires.
