Il se croyait bien protégé, le responsable de la qualité et de l’ingénierie chez Facebook. Mais pour en avoir le coeur net il a tout de même lancé un défi à ses collaborateurs : parvenir à lui dérober les codes d’accès au back-office d’administration de Facebook.

Cela leur a pris du temps mais ils y sont presque parvenus. Pour cela, les attaquants ont fait le siège de son domicile et ont réussi à pénétrer son réseau WiFi personnel (après avoir dérobé sa clé WPA en forçant son ordinateur à se connecter à un faux point d’accès présentant le même nom que le sien). Ils ont pu ensuite tout simplement renifler son trafic à domicile.

L’histoire se termine cependant relativement bien : seuls les identifiants de sa page personnelle sur Facebook ont été dérobés, mais les attaquants ne sont pas parvenus à se connecter au back-office d’administration (soit parce que l’ingénieur ne s’y est pas connecté depuis son domicile, soit parce que le système exige une authentification à plusieurs facteurs).

Moralité : un attaquant déterminé, dans le cadre d’une attaque ciblée, a vraiment de bonnes chances de réussite.

Moralité bis : rien ne vaut un vrai VPN pour les connexions depuis le domicile.

Moralité ter : déployer une solution d’authentification forte web pour ses back-office critiques n’est pas une mauvaise idée.