Facebook a introduit une nouvelle fonctionnalité dans sa plateforme qui a été conçue pour permettre aux chasseurs de bugs de trouver plus facilement les failles de sécurité dans les applications Facebook, Messenger et Instagram Android.


Comme presque toutes les applications appartenant à Facebook-utilisent par défaut des mécanismes de sécurité tels que l’épinglage de certificats pour assurer l’intégrité et la confidentialité du trafic, il est plus difficile pour les pirates en chapeau blanc et les chercheurs en sécurité d’intercepter et d’analyser le trafic réseau pour trouver les failles de sécurité côté serveur.


Pour ceux qui ne le savent pas, l’épinglage de certificats est un mécanisme de sécurité conçu pour empêcher les utilisateurs d’une application d’être victimes d’attaques réseau en rejetant automatiquement l’ensemble de la connexion des sites qui offrent des certificats SSL bidon.


Surnommée “Whitehat Settings”, cette nouvelle option permet désormais aux chercheurs de contourner facilement l’épinglage de certificats sur les applications mobiles de Facebook-owned :

  • Désactiver le support TLS 1.3 de Facebook
  • Activation du proxy pour les requêtes API de la plate-forme
  • Utilisation des certificats installés par l’utilisateur


“Choisissez de ne pas utiliser TLS 1.3 pour vous permettre de travailler avec des proxys tels que Burp ou Charles qui ne supportent actuellement que jusqu’à TLS 1.2,” explique Facebook.



Whitehat Settings n’est pas visible par défaut pour tout le monde. Au lieu de cela, les chercheurs doivent explicitement activer cette fonctionnalité pour leurs applications Android à partir d’une interface web sur le site Facebook, comme indiqué.


“Pour vous assurer que les paramètres apparaissent dans chaque application mobile, nous vous recommandons de vous déconnecter de chaque application mobile, de fermer l’application, puis d’ouvrir l’application et de vous reconnecter.

Le processus d’ouverture de session récupérera la nouvelle configuration et les mises à jour des paramètres que vous venez de faire. Vous n’avez besoin de le faire qu’une seule fois, ou à chaque fois que vous modifiez ces paramètres “, explique Facebook.

Une fois activé, vous verrez une bannière en haut de votre application (Facebook, Messenger ou Instagram) indiquant que le test réseau est activé et que votre trafic peut être surveillé.
Si vous souhaitez tester les vulnérabilités de sécurité de l’application Instagram à l’aide des nouveaux paramètres Whitehat Settings, nous vous conseillons de relier votre application Instagram à votre application Facebook.

Il est à noter que les paramètres Whitehat ne sont pas destinés à être utilisés par tous, car ils réduisent la sécurité des applications Facebook installées sur votre appareil.


“Pour la sécurité de votre compte, nous vous conseillons de désactiver ces paramètres lorsque vous ne testez pas notre plate-forme pour trouver les vulnérabilités de la prime de bogue Whitehat “, indique le média social.