Publié le 11-06-2009 à 11:52:20 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Exclusif : Fin avril, un internaute du nom de Hacker Croll diffuse les preuves de sa visite dans les petits secrets du site communautaire Twitter. ZATAZ.COM a rencontré ce visiteur pas comme les autres.

Il nous aura fallu un petit mois pour rentrer concrètement en contact avec Hacker Croll. Cet internaute diffusait, fin avril, des captures écrans de son passage dans l'administration du site communautaire Twitter. Le portail confirmera l'information quelques jours plus tard.

Nous pensions que ce bidouilleur était Français, nous nous sommes retrouvés en contact avec un Allemand un français d'une vingtaine d'années. Étudiant, Hacker Croll est passionné par le social engineering, l'étude d'une cible afin d'en extraire un maximum d'informations.

Avec Twitter, Hacker Croll semble avoir tiré le jackpot. Révélation !

ZATAZ : Que veut dire Hacker Croll ?
Hacker Croll : C'est un clin d'œil. Quand j'étais jeune, dans mon pays, la grande mode était au jeu Pac-man. Hacker Croll fait référence au créateur d'un vieux jeu de Pac-man, sur pc, baptisé Greedy et édité par Eclipse Software. Des anciens démomakers.

Pourquoi "pirater" Twitter ?
En fait tout a débuté avec la lecture d'un article sur un ? gars de 18 ans qui avait piraté le mot de passe d'un administrateur de Twitter. Une attaque à coup de brute force.

Peux-tu nous expliquer ta méthode ?
Oh, elle est presque simple. Il fallait un peu de temps, de chance et de curiosité.

Première action, arriver à trouver une adresse électronique des employés ? J'ai eu juste à chercher en faisant un whois sur des noms de domaines appartenant à des employés. Seulement, au départ, galère. Certains Registars masquent les adresses pour lutter contre le spam et préserver un peu plus l'anonymat de leurs clients. Je me suis rendu dans la page About US de Twitter et j'ai consulté la fiche de chaque employé. Certains avaient indiqué l'url de leur site web. Il m'a suffit de faire, de nouveau, un Whois.

Que faisiez-vous avec ces emails ?
Certains des employés possédaient une adresse du style machintruc@mondomaine.com. Je me suis dit que dans cette situation, impossible d'agir, il n'y a pas de processus de redéfinition de mot de passe pour ces adresses. D'autres employés avaient une adresse de type @gmail.com. Chez Gmail, autre problème, on ne peut accéder à la question secrète seulement après une inactivité de 24h sur le compte en question. Et comme la plupart des employés s'y connectent tous les jours, difficile de passer par là.

D'où l'attaque par Yahoo ?
Oui, il y avait d'autres employés qui avaient renseigné une adresse en @yahoo.com. C'était le cas de Jason Goldman par exemple. Je vais sur Yahoo. Je clique sur mot de passe oublié et je rentre son adresse. Je me heurte à une première difficulté.

Laquelle ?
Yahoo demande de vérifier l'identité avant de pouvoir accéder à la question secrète. Pour cela il demande de renseigner la date de naissance, le code postal, le pays tels qu'ils figurent sur le compte. Je n'avais jamais réussi à franchir cette étape, mais par chance, l'employé possédait un blog qui datait de 2002 dans lequel il racontait sa vie. Dans son profil figurait son âge et son signe astrologique. J'ai ainsi pu déterminer son année de naissance.

Vous n'aviez pas le jour ?
Non, mais en recherchant dans des articles, j'ai rapidement pu trouver ma réponse. J'ai trouvé la réponse dans une page datant d'octobre 2004. Heureusement d'ailleurs car Yahoo! bloque les comptes emails après 10 fausses tentatives. [au bout de 10 mauvaises tentatives de connexion, NDR]. Le code postal n'a pas été compliqué. Je l'ai trouvé à l'aide du whois. Pour sa question secrète, simple, c'était sa ville de naissance, Saint-Louis.

Ensuite ?
Ensuite, j'ai oublié une étape et c'est ça qui a tout fait foirer. Ni lui, ni Twitter n'auraient vu, ni su.

Cette erreur ?
Le gars avait indiqué plusieurs emails de secours pour récupérer son mot de passe. Chez Yahoo! dès que l'on modifie ton mot de passe, la réponse à la question secrète, ... le webmail envoie une notification par courriel. C'est comme ça qu'il a su ! Il était connecté sur son compte gmail à ce moment là.

Qu'avez-vous fais ensuite ?
Une fois sur son compte Yahoo, la première chose que j'ai réalisé a été de de virer ses emails de secours. J'ai également modifié sa question secrète. Ensuite j'ai commencé les recherches dans ses messages avec le mot clé password. Je suis tombé sur une multitude de mots de passe différents. Il avait en fait toujours le même mot de passe avec une petite variante, deux lettres. Les deux premières lettres du site utilisait. Google, ça donnait GOxxxx ; Twitter : TWxxx ; Gmail : gmxxx ; ...

Et vous avez trouvé le passe de l'administration de Twitter ?
Oui et non. Son identifiant htaccess ne finissait pas par @twitter.com mais uniquement ce qui précédait son adresse email.

Une fois dans l'administration, qu'avez-vous fait ?
J'ai fait quelques captures écrans et j'ai été rapidement découvert. Près de 15 minutes plus tard, le staff de Twitter a remarqué une activité anormale et ils ont désactivé l'administration.

On a lu et entendu [Émission C'est dans l'air - France 5 – 29/05/09] que vous aviez modifié des choses. Usurpé l'identité de Britney Spears, Obama ?
J'ai reçu la vidéo par Internet. Un ami me l'a traduit. Je ne sais pas qui est le vieux monsieur qui a osé dire cela mais il faudrait qu'il retourne d'où il vient, dans sa maison de retraite par exemple. Je n'ai JAMAIS rien modifié, usurpé, ... J'ai simplement pris des captures d'écran sans modifier quoi que ce soit. Oui j'aurai pu le faire, mais ce n'est pas mon éthique. J'aime les défis, point barre.

Twitter a tenté de vous contacter ?
Non. Il n'avait pas mon email. Ils n'ont pas tenté non plus via les forums ou je discute.

Quelles types d'informations ?
Je ne dirai rien, pour le moment. Juste que j'ai, par exemple, les restrictions alimentaires imposées à certains employés ; Le codes d'accès à l'office Twitter de chaque employé ; Le détail des communications téléphonique effectuées par Evan Williams [Le patron de Twtter, NDR], ... et je sais exactement ce que se sont dit les employés après mon passage. Par exemple, Jason Goldman a averti, le jour même, tout les employés.

Il leur a fait la recommandation de modifier leur mot de passe ainsi que l'email qui figurait dans leur compte. Le nouveau mot de passe respecte dorénavant certaines exigences. Pour cela, un script Perl a été mis en place. Ce script s'assure que le mot de passe remplit bien certains critères. Mot de passe de taille suffisante ; qu'il ne figure pas dans un dictionnaire ; qu'il n'y a pas de caractères répétitifs ; etc.

J'ai même eu accès, bien plus tard, à la lettre interne diffusée par Biz Stone, l'un des co-fondateur de Twitter. Un message envoyé aux employés dans laquelle il expliquait l'intrusion, que le FBI me recherchait, ...

Ton action, uniquement pour le défit ?
Oui et uniquement pour ça. Le hackito ergo sum [Je hack donc je suis, NDR] comme toi même tu l'appelles depuis des années. Je hack donc je suis. Mais pas question de nuire, détruire. Je pourrai revendre facilement ce que j'ai trouvé, mais ça aussi, hors de question.

La rédaction a tenté de contacter le service presse de Twitter aux Etats-Unis. Nous n'avons jamais reçu la moindre réponse.

Phishing à l´encontre de la Caisse d´Allocations Familiales

30-01-2010 à 18:08 - 3 commentaire(s)

Exclusif : Prudence, depuis samedi après-midi, un pirate tente de mettre la main sur les identifiants de connexion à la Caisse d´Allocations Familiales.

Cocoonez high–tech

30-01-2010 à 14:30 - 0 commentaire(s)

Oreillerbaladeur et couverture USB pour rester au chaud tout en étant branché ! A découvrir aussi le 1e réseau en 3D dédié à l´art.

Censure du Net: rassurants amendements en commission

28-01-2010 à 11:54 - 0 commentaire(s)

La Quadrature du Net se rassure de l´adoption à l´unanimité en Commission des Lois d´amendements à la loi LOPPSI déposés par le député Tardy.

Les casseroles made in HADOPI

28-01-2010 à 09:02 - 0 commentaire(s)

Chose promise chose due : mobilisation de l'armée numérique pour le lancement de l'opération Casseroles Day (C-DAY).

Nouveau phishing à l´encontre des clients de la Caisse d´Épargne

28-01-2010 à 08:21 - 0 commentaire(s)

Voilà un pirate qui a de la suite dans les idées. Septième attaques à l´encontre des clients de la Caisse d´Épargne.

L´exploit pour hacker la PS3 diffusé sur Internet

27-01-2010 à 15:37 - 0 commentaire(s)

GeoHot, l´auteur du premier véritable crack de la Playstation 3 de Sony diffuse le code qui permet cet exploit technique.

Jouer gratuitement au poker

26-01-2010 à 16:09 - 0 commentaire(s)

Pour rester informé en permanence des dernières offres de poker en ligne, Pokerlistings est le guide le plus actualisé du web.

Do you speak spammeur ?

26-01-2010 à 15:44 - 0 commentaire(s)

Les spammeurs ciblent désormais leurs destinataires en fonction de leur langue et de leur pays d´origine.

Moi y a vendre bonne arnaque

Prudence, des annonces eBay vous proposent d´acquérir des ordinateurs portables pour 52 euros... Arnaque comprise!

Chercheurs d’emplois – gare aux offres frauduleuses!

Quand les pirates informatiques créent de fausses offres d’emploi : vigilance!

Les joueurs de NCSoft ciblés par un phishing

Pendant que Google râle sur de pseudos pirates Chinois qui ne semblent être que des employés malintentionnés, l´éditeur de jeux en réseau AION, City of heroes, Lineage, ... s´attaque aux vilains fermiers numériques made in china.

Faille vieille de 17 ans révélée dans Windows

Microsoft confirme la présence d´une faille dans Windows vieille de 17 ans.

Escroquerie téléphonique via Facebook

Exclusif : Un groupe Facebook cache une escroquerie qui promet de téléphoner gratuitement. Prudence, une fausse page de connexion au portail communautaire y est proposée.

Perte de poids, gare aux fausses pubs

Exclusif : J´ai perdu 16 Kg en moins de 2 mois avec deux produits gratuits. Une publicité trouble exploite des sites, Tv connus ainsi que le logo du Ministère de la santé et des sports.

Boulette à la Mairie de Roanne... et de Baisieux

Exclusif : Pour les vœux 2010, la mairie de Roanne s´invite sur le web. Mauvaise idée, le courrier contenait plusieurs centaines de données privées. A Baisieux, c'est le site web qui bave !

Solde sur le web

Exclusif : Prudence, un lien appartenant à la boutique en ligne GrosBill pourrait être exploité par un pirate informatique ou autre hameçonneur.