Publié le 27-12-2009 à 14:46:46 dans le thème Réseau - Sécurité

Pays : International - Auteur : La rédaction

Pub : Tous les antivirus gratuits pour protéger et nettoyer votre ordinateur

Exclusif : Vous vous souvenez de cette information ? Vos données Twitter et Facebook sont disponibles sur Google, même effacées. Les failles, elles, disparaissent sans rien dire. (Par Cybstups)

Vous ne le savez peut être pas encore mais c'est fait, vos informations Facebook et Twitter sont relayées par Google et Bing et affichées directement dans les recherches des internautes. Les fonctionnalités ne sont pas encore disponibles pour les français, par conséquent, vous devez utiliser Google USA ainsi que Bing USA. Il était déjà possible d'effectuer des recherches sur Twitter sans avoir de comptes: http://twitter.com/search?q=zataz. Maintenant, les internautes vont pouvoir partager votre vie directement dans leurs recherches: http://www.google.com/search?hl=en&tbo=s&tbs=mbl:1,mbl_sv:0&q=zataz et ausssi, en temps réel : http://www.google.com/search?hl=en&q=zataz&tbs=mbl:1&tbo=u&filter=0 Avec ou sans les mises à jour automatiques des résultats : javascript:google.rt.resume() ou javascript:google.rt.pause()

A noter que Google ne respecte pas toutes les règles de confidentialités proposées par Twitter et Facebook. La démonstration la plus simple vise à créer un message sur Twitter puis de l'effacer. Google va s'empresser de stocker en cache l'information pour une durée indéterminée. Les mêmes fonctions sont disponibles chez Bing http://www.bing.com/twitter?q=zataz

Accentuation de la protection ? 

Facebook a décidé récemment d'accentuer la sécurité en permettant aux utilisateurs de personnaliser les "fuites d'informations" mais quasi immédiatement celui-ci a été vivement critiqué car le réglage par défaut est ultra permissif.

La conclusion est la suivante, mesurez dans toutes circonstances l'ensemble de vos paroles, il faut bien avoir en tête qu'elles resteront "gravées" sur Internet. Même le plus paranoïaque n'est pas à l'abri d'un incident bénin (ex: un tiers que vous connaissez qui saisi n'importe quoi sur votre ordinateur l'espace d'un instant) ; le détournement volontaire (l'accès physique à votre ordinateur, une connaissance, votre entourage) ; ou encore un tiers extérieur en utilisant des services d'individus plus compétents (Hacks As A Service : le cout d'un piratage sur un particulier n'étant pas excessif). Concernant l'affichage des messages, il faut bien comprendre une chose, c'est que les liens ne sont pas directs; Google se réserve le droit de les ré-écrire et par la même occasion de collecter des données ( Qui ? Quoi ? Où ? Quand ? Comment ? Pourquoi ? ) et ainsi alimenter d'immenses bases déjà bien fournies. Avec les fonctionnalités avancées de ces moteurs et l'utilisation des API, ... il est possible de construire des outils redoutables permettant de tracer, collecter, ... mais aussi d'atteindre directement les internautes et les mener sur des attaques sophistiquées: c'est une aubaine pour les cybercriminels professionnels !

Ce n'est que le début et comme il n'est pas possible de stopper l'évolution, il est grand temps de changer nos comportements.

Facebook corrige vite... mais sans rien dire
Mi-octobre 2009, le pseudo "599eme Man", membre du groupe Alternativ Testing, publiait le billet "Facebook URL String Evasion Doublé" sur une technique d'injection de code HTML par le biais d'une variable mal filtrée sur une application. La vulnérabilité jugée critique a été corrigée bien que partiellement comme le souligne certaines personnes par le biais du blog de Korben puis relancé par ZATAZ, il y a quelques jours, sur le sujet Redirection non sécurisée pour Facebook.

C'est en lisant le commentaire ironique d'Ar-S sur le sujet Le Père Noël est une ordure sur Facebook que j'ai réalisé la popularité de cette astuce qui, rappelons le, offre des possibilités aux hameçonneurs, bien que limitées. N'ayant jamais eu la nécessite d'exposer ma vie sur Facebook ou ailleurs, j'ai alors questionné des personnes (12) ayant un usage lambda de leur ordinateur pour savoir s'ils pensaient pouvoir se faire duper par ce genre de stratagème.

Outre les "cliqueurs" maladifs, les utilisateurs ne font pas confiance aux liens inconnus, même émanant de leurs amis (ce qui est faux, d'après des statistiques récentes sur le sujet), et encore moins ceux qui font appel à des applications tiers, mais ces internautes admettent qu'avec le flot d'informations à traiter dans une journée, le tout couplé à la fatigue, ils pourraient éventuellement ... tomber dans ce type de piège.

Et comme lobotomisés d'en conclure expressément que de toute façon, ça n'arrive qu'aux autres... A la question, pensez-vous que d'autres faiblesses de ce type sont possibles directement sur le site officiel, ils ont répondus: NON. Et pourquoi ? Et bien, vu le nombre d'utilisateurs, d'après eux, ça se saurait déjà !

Même avec l'habitude de ce genre de réactions, ça vous laisse toujours perplexe. Je décide d'aller faire un tour sur https://www.facebook.com pour observer les structures des pages. Peut être le fait d'avoir lu quelques minutes avant un article publié sur seclists, en full-disclosure, "XSS vulnerabilities in 8 millions flash files", allez savoir si c'est la vue du "flash.swf?url=" qui m'a fait "tilter" mais j'ai immédiatement focalisé sur la variable "uri" de la page "language_dialog.php".

Cette page permet à l'utilisateur de sélectionner l'interface du portail en fonction de sa localité. La variable "uri" est ré-utilisée dans la génération des liens mais indirectement car la valeur est contrôlée par une expression régulière, il suffisait de trouver la syntaxe exacte permettant de donner l'illusion à l'utilisateur de se connecter sur le Facebook de son pays. La faiblesse est exploitable de cette manière:
https://www.facebook.com/ajax/intl/language_dialog.php?uri=http%3A%2F%2F.facebcck.com.

Les écritures de nos liens piégés sont alors sous cette forme. <a onclick='intl_set_cookie_locale("ru_RU", "http://ru-ru.facebcck.com/", "LOGGED_OUT"); return false;' title="Russian" href="http://ru-ru.facebook.com/">Русский</a>. Le pirate va maintenant se créer un virtualhost qui va accepter toutes les requêtes d'host. *.facebcck.com 300 IN A 91.121.85.146 (wildcard DNS). Ainsi, ru-ru.facebcck.com, uk-ua.facebcck.com, etc... pointeront sur 91.121.85.146 (zataz.com). L'hameçonneur met en place ses copies parfaites du site en fonction des langues qui seront sélectionnées.

Aux tests, le lien proposé était en "https://www.facebook.com", autant dire que tout le monde (sauf un) est tombé dans le piège. Quelques heures après, Facebook a corrigé silencieusement le problème, avant même d'avoir le temps d'envoyer l'email de notification. Un grand bravo à l'équipe sécurité de Facebook (Greets Amok) qui visiblement scrute à la volée les anomalies des requêtes sur son portail.

Tweet

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Faille sur le site Wikileaks

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

La Ville de Chambéry corrige une fuite de données

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.

Réagissez à ce contenu