img_pub
S'abonner
Rubriques
Publicité
Publicité
TECH & MEDIAS

Les passionnants parcours de Amine Cherrai et Faouzi Jouti, gratifiés par Facebook

En 2013, ils ont été 222 à s’être introduits dans les systèmes et réseaux de Facebook et y avoir découvert des failles de sécurité. Parmi ces hackers, quatre geeks marocains. Deux d’entre eux répondent à nos questions, Faouzi Jouti et Amine Cherrai.  

Les passionnants parcours de Amine Cherrai et Faouzi Jouti, gratifiés par Facebook
Meryem Elouaar
Le 30 décembre 2013 à 16h36 | Modifié 11 avril 2021 à 2h35

Facebook publie chaque année une liste de hackers, appelés «White Hat Hackers», qui n’exploitent pas les vulnérabilités repérées à des fins malhonnêtes. La liste de 2013 compte 222 personnes. Celle de 2012 ne comptait que 122 et celle de 2011 seulement 52. Chacun d’eux reçoit une prime d’au moins 500 dollars.

Amine Cherrai, sollicité par l’équipe sécurité de Facebook

Après avoir signalé 5 bugs sur Facebook, ce Casablancais qui aura bientôt 26 ans, a rapporté 1 bug sur Google, 3 sur Linkedin, 1 sur Microsoft, 1 sur le site russe de vente de logiciel et solutions e-commerce Simbirsk Technologies (cs-cart), 1 sur The Ghost Foundation, 1 sur Maroc Télécommerce, 5 sur Maroc Traitement de transactions, 1 sur Hmall, 1 sur mamaille, 1 sur Kezakoo et 1 sur la FNEM.

Son nom figure non seulement sur la liste Hall of Fame de Facebook 2013, mais également sur celle de Google 2013.

«Je déteste l’école», nous confie-t-il d’emblée. C’est plus l’électronique et la robotique (microcontrôleur Arduino) qui le fascinent.

Fin février 2013, il a signalé un bug critique à Facebook qui lui permettait d'accéder à n'importe quel compte et d’obtenir l'autorisation complète d’accès au compte (lire la boîte de réception, regarder les photos, cliquer sur like, les commentaires, etc.). En effet, le bug était dans la façon dont Facebook permet aux applications, comme Farmville à titre d’exemple, d’accéder aux données des utilisateurs (profil public, liste d'amis et adresse mail).

Il développe son idée : « cette opération est basée sur le célèbre protocole appelé OAuth (autorisation ouverte), permet à un utilisateur de donner un accès à ses données personnelles, à un autre site web ou à une application. Il s’agit d’un "jeton d'accès", comme un mot de passe, qui permet l’accès au compte d'un utilisateur. Normalement, cela ne peut se faire sans l'autorisation de l'utilisateur.

Toutefois, Amine a découvert que certaines applications obtiennent cet accès sans l'autorisation de l'utilisateur. Ce sont les applications développées par Facebook comme Facebook Messenger pour Android. «Je ne me souvenais d’avoir pressé “OK, je suis d'accord“ lorsque j'ai installé Facebook Messenger sur mon samsung galaxy», se rappelle-t-il. Et de poursuivre : «Alors que je cherchais sur facebook et lisais leur documentation, j'ai découvert que je pouvais pirater le flux et obtenir ce jeton d'accès sans autorisation de l'utilisateur». Après de nombreux essais, Amine a finalement réussi et a construit son PoC (preuve de concept) pour exposer le bug à l’équipe sécurité de Facebook.

Il ne s’agit que du 1er bug signalé parmi les 5. Le nom d’Amine figure parmi le top 10 White Hat.

Face à ce succès, il décide d'aider gratuitement des sites marocains spécialisés en e-commerce, «c'était peut-être la pire décision que j’ai prise cette année, mais je ne la regrette pas», commente-t-il. Après cette expérience, il estime que les propriétaires des sites marocains de e-commerce ne se soucient pas suffisamment de la sécurité et la confidentialité des utilisateurs. «La sécurité des sites doit-être repensée», juge-t-il.

En novembre 2013, il reçu une offre d’emploi de Facebook, pour rejoindre leur équipe de sécurité. Par ailleurs, il est invité en 2014 à un atelier «Web 2 Sécurité et confidentialité» dont il est membre du comité, qui se tiendra à San Jose, en Californie.  Mais il ne sait pas encore s’il donnera suite à l’offre d’emploi de Facebook.

Faouzi Jouti, entre informatique et intelligence artificielle

Il est né à Marrakech en 1993. Il nous confie être fasciné par le monde technologique depuis sont enfance. A 15 ans, il s’est lancé dans le domaine des logiciels et a entamé une série d’apprentissages en ligne de quelques langages de programmation. Deux ans plus tard, il fait du freelance, tout en gardant de «bonne prestation scolaire», nous raconte-t-il.

En 2011, il a obtenu son baccalauréat en sciences physiques. Il intègre ensuite l’Université Al Akhawayn  d’Ifrane où il se spécialise en ingénierie informatique.

En 2012, il est en phase finale au concours Google Apps Challenge grâce à un projet éducatif. Peu de temps après, il participe à un autre concours de grande envergure, NASA Apps challenge et décroche la 2ème place grâce à une application qui prédit les zones rentables en termes d’énergies renouvelables dans le monde.

En 2013, il s’est tourné vers l’autoformation en sécurité web, tout «en gardant un œil sur la programmation et développement de logiciels», nous dit-il.  Il décide donc de mettre ses connaissances théoriques en pratique. Il découvre ainsi des bugs dans le jeu populaire «Criminal Case» sur Facebook, ensuite quelques failles sur le site de France 3, notamment sur leur jeu en ligne «Questions pour un champion».

Quelques mois plus tard, alors qu’il aide un ami à associer son numéro de téléphone à Facebook, il constate que le module de téléphonie de Facebook n’était pas très stable. Il mène alors des investigations approfondies sur son fonctionnement. En modifiant des données « POST » et  « GET » il a réussi à ajouter ou supprimer n’importe quel numéro de téléphone de n’importe quel compte Facebook sans y avoir accès.

«Cela pouvait entraîner la désactivation d’une mesure de sécurité très importante sur Facebook, connue sous le nom de «l’approbation de connexion», nous explique-t-il. Et poursuit : «cette option de sécurité faisait en sorte que Facebook envoie un code sur le téléphone de l’abonné lors d’une connexion à son compte depuis un navigateur non reconnu. Cela voulait dire que les pirates informatiques ne pouvaient pas accéder à son compte même s’ils disposent du mot de passe». Ce bug pouvait immédiatement désactiver cette option en supprimant le numéro associé aux comptes Facebook. Il a immédiatement contacté les responsables de Facebook pour vérifier et corriger ce bug. Au bout d’un mois, il a pu inscrire son nom sur le «Hall Of Fame» de ce géant mondial.

De plus, en novembre dernier, Faouzi a participé au Google Cloud Challenge, et pour la seconde fois, il s’est qualifié pour la phase finale en étant le seul représentant du Maroc dans cette compétition. Il est également un (mini) chercheur enintelligence artificielle qui a développé deux projets en ce sens. Le premier est un projet d'application qui peut résoudre n'importe quel problème en texte en maths et physique. Le second porte sur l’«Image recognition», nouvelle méthode pour reconnaitre les personnes à travers leurs photos.

À découvrir

Starlink étend sa couverture dans le monde : quelle est la situation au Maroc ?
Starlink étend sa couverture dans le monde : quelle est la situation au Maroc ?
Enquête. Sur X, une attaque coordonnée a ciblé le Maroc pendant la CAN
Enquête. Sur X, une attaque coordonnée a ciblé le Maroc pendant la CAN
Comment le groupe beIN s'implante au Maroc en zone grise
Comment le groupe beIN s'implante au Maroc en zone grise
Médias24 - Journal économique marocain en ligne
Vous avez un projet immobilier en vue ? Yakeey & Médias24 vous aident à le concrétiser!
Si vous voulez que l'information se rapproche de vous Suivez la chaîne Médias24 sur WhatsApp
© Médias24. Toute reproduction interdite, sous quelque forme que ce soit, sauf autorisation écrite de la Société des Nouveaux Médias. Ce contenu est protégé par la loi et notamment loi 88-13 relative à la presse et l’édition ainsi que les lois 66.19 et 2-00 relatives aux droits d’auteur et droits voisins.
Meryem Elouaar
Le 30 décembre 2013 à 16h36

à lire aussi

Prévisions météorologiques pour le lundi 20 avril 2026
Les prévisions quotidiennes

Prévisions météorologiques pour le lundi 20 avril 2026

Voici les prévisions météorologiques pour le lundi 20 avril 2026, établies par la Direction générale de la météorologie (DGM): - Températures en hausse avec temps […]

Dette hybride. Au-delà de la levée, le modèle et les contraintes d’OCP
BUSINESS

Dette hybride. Au-delà de la levée, le modèle et les contraintes d’OCP

Derrière le succès de son émission obligataire hybride d’avril 2026, le groupe OCP révèle une équation financière complexe. Entre montée de la fiscalité, politique de dividendes, investissements massifs dans la transition verte et dans des activités hors cœur de métier, le champion des phosphates doit désormais arbitrer dans un environnement compliqué.

Un nouveau “dictionnaire critique” pour relire le Maroc colonial
IDEES

Un nouveau “dictionnaire critique” pour relire le Maroc colonial

Un ouvrage collectif dirigé par l’anthropologue marocain Hassan Rachik propose une relecture de la période coloniale à travers un format original de dictionnaire, réunissant une vingtaine de chercheurs marocains, français et espagnols.

Sahara: despite Algiers’ efforts, Washington’s position remains unchanged
DIPLOMATIE

Sahara: despite Algiers’ efforts, Washington’s position remains unchanged

On the sidelines of the Antalya Diplomacy Forum in Turkey, Algeria’s foreign minister and the U.S. president’s senior advisor for Arab and African affairs discussed several regional issues, including the Sahara. Yet behind the carefully worded Algerian statement, Washington’s support for Morocco’s territorial integrity remains clear and unchanged. Since December 2020, that position has taken on the weight of state continuity, suggesting it will endure regardless of political turnover in Washington or diplomatic initiatives from Algiers.

Santé animale : Biopharma et le Tchad passent à la phase opérationnelle de leur partenariat
Santé

Santé animale : Biopharma et le Tchad passent à la phase opérationnelle de leur partenariat

La société pharmaceutique marocaine Biopharma a signé à N’Djamena une feuille de route de coopération avec l’Institut tchadien de recherche en élevage pour le développement (IRED), dans le cadre du renforcement de la coopération maroco-tchadienne dans le domaine de la santé animale.

Casablanca : les autorités démentent auprès de Médias24 une rumeur sur une fermeture des commerces à 23 heures à Anfa
SOCIETE

Casablanca : les autorités démentent auprès de Médias24 une rumeur sur une fermeture des commerces à 23 heures à Anfa

Les autorités ont démenti, auprès de Médias24, l’existence d’une décision imposant la fermeture des commerces, cafés et restaurants à 23 heures dans le ressort de la préfecture d’arrondissements de Casablanca-Anfa, après la circulation d’informations en ce sens sur certains sites et réseaux sociaux.

Médias24 est un journal économique marocain en ligne qui fournit des informations orientées business, marchés, data et analyses économiques. Retrouvez en direct et en temps réel, en photos et en vidéos, toute l’actualité économique, politique, sociale, et culturelle au Maroc avec Médias24

Notre journal s’engage à vous livrer une information précise, originale et sans parti-pris vis à vis des opérateurs.

Toute l'actualité
Anthropic entend "mettre sur la table" les risques de son modèle d'IA Mythos(afp)
La Corée du Nord dit avoir testé des missiles tactiques à sous-munitions(afp)
Hong Kong: des habitants retrouvent leur logement après l'incendie qui a fait 168 morts(afp)
Huit enfants tués par balles dans des violences intrafamiliales en Louisiane(afp)
A nouveau sous pression dans l'affaire Mandelson, Starmer face aux députés(afp)
Macron et Tusk vont parler dissuasion nucléaire lundi à Gdansk(afp)
La justice française attend Elon Musk pour son enquête sur X, sans trop d'illusions(afp)
Le braqueur Ferrara devant la justice en Belgique pour un projet d'attaque en Allemagne(afp)
Prévisions météorologiques pour le lundi 20 avril 2026
Dette hybride. Au-delà de la levée, le modèle et les contraintes d’OCP