Piratage de comptes Facebook, enquête !

Publié le 27-01-2011 à 13:42:01 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Découvrez les Labs ZATAZ

Note des lecteurs: 4.3/5

Exclusif - Découverte de nouvelles techniques pirates ciblées pour piéger un utilisateur de Facebook. A la suite du piratage de plusieurs comptes Facebook de personnalités du show-business et de la politique, (Nicolas Sarkozy, Mark Zuckerberg, ...) ZATAZ.COM a lâché ses souris pour tenter de comprendre l'attaque qui permet cette possibilité de modification malveillante. Plusieurs lecteurs nous ont fait part de l'apparition de comptes étranges, demandant de devenir amis avec vous. Parmi les "contacts", un inconnu du nom de "Roy Castillo". Cet internaute laisse des messages, tentent de nouer des contacts. Mission, inciter les "piégés" à cliquer sur un lien fourni par le pirate. Le "Roy" , qui exploite des comptes piratés, exploite un XSS, un Cross Site Scripting touchant Facebook. Le garçon, utilise un site web dans lequel est caché l'exploit XSS. ZATAZ.COM s'est permis de regarder, un peu, sur le serveur du jeune bidouilleur. Les codes PHP et autres cookies interceptés montrent qu'il a trouvé le moyen de se connecter aux comptes de ses "nouveaux amis" !

ZATAZ.COM a pu récupérer les codes sources de l'attaque. Nos tests sont sans appels, l'interceptions des cookies (et de plusieurs informations sensibles) se fait en quelques secondes. Bref, si un inconnu vous invite à passer par chez lui, un conseil, passez votre chemin.

Pour palier cette attaque, en cas de "clic" malheureux. Deconnexion de votre compte, effacer vos cookies de connexion, nouvelle connection à votre compte et changement de votre mot de passe.

L'autre possibilité malveillante, un phishing. Attaque classique sauf que cette fois, le pirate a enregistré un nom de domaine qui peut piéger le plus averti des utilisateurs. Malin, façon de parler, le pirate a enregistré l'adresse : fr-fr-facebook.net. Il fallait y penser. L'url reprend l'affichage de l'adresse officielle Française Facebook. Derrière cette adresse, le pirate tente de convaincre ses "lecteurs" d'installer un outil, une barre de recherche, qui offrirait : "D'un simple coup d'œil (...) savoir instantanément si de nouvelles personnes veulent vous ajouter dans leur liste d'amis, si l'on vous demande d'appartenir à un groupe particulier ou si l'on vous "poke". Une fausse barre d'aide Facebook qui cache un cheval de Troie, un logiciel espion "Trojan.FWDisable" qui permet d'intercepter les informations reçues et emises pour votre ordinateur.

En attendant, Facebook vient de proposer deux nouvelles sécurité. Un accès HTTPS (sécurisé) et un "test" qui doit permettre d'identifier ses amis, en photo, avant toute connexion. Cette seconde propostition se déclenchera lors de connexions considérées comme suspecte. (Julien, Debora, Xt)

Tweet

Des pirates complice de trafiquants de drogue

19-06-2013 à 12:56 - 0 commentaire(s)

La police belge met la main sur des centaines de kilos de cocaïne et héroïnes. Des pirates informatiques aidaient les trafiquants.

Oracle publie des correctifs pour 40 vulnérabilités dans Java SE

19-06-2013 à 12:44 - 0 commentaire(s)

Le Critical Patch Update (CPU) publié par Oracle, fixe 40 nouveaux problèmes de sécurité dans Java SE.

Le journal Auto Hebdo piraté

19-06-2013 à 12:37 - 0 commentaire(s)

Le site Internet du journal Auto Hebdo piraté. Plusieurs milliers de lecteurs dans les mains du pirate.

Le Ministère des Finances Ivoirien piraté

19-06-2013 à 12:35 - 0 commentaire(s)

Un pirate informatique visite le site Internet du Ministère des Finances de la Côté d'Ivoire. Accès aux emails constatés.

Bug malveillant pour Le Parisien

19-06-2013 à 12:31 - 0 commentaire(s)

Une faille informatique permet de piéger les visiteurs du site Le Parisien.

L'aéroport de Tours visité par un pirate

19-06-2013 à 12:29 - 0 commentaire(s)

Un pirate informatique s'invite dans le serveur du site Internet de l'aéroport de Tours.

Usurpation d'identité de TF1 dans un faux reportage web

19-06-2013 à 12:26 - 0 commentaire(s)

Pour vendre une pseudo technique de trading, un site web usurpe l'identité de TF1 et modifie un reportage du 13h de Jean-Pierre Pernaut.

Le top 5 des vulnérabilités informatiques les plus rencontrées

18-06-2013 à 12:22 - 0 commentaire(s)

Ce n'est pas une surprise, 2012 aura encore été riche en actualité concernant la cybercriminalité.

Oracle publie des correctifs pour 40 vulnérabilités dans Java SE

Le Critical Patch Update (CPU) publié par Oracle, fixe 40 nouveaux problèmes de sécurité dans Java SE.

Bug malveillant pour Le Parisien

Une faille informatique permet de piéger les visiteurs du site Le Parisien.

L'aéroport de Tours visité par un pirate

Un pirate informatique s'invite dans le serveur du site Internet de l'aéroport de Tours.

Le top 5 des vulnérabilités informatiques les plus rencontrées

Ce n'est pas une surprise, 2012 aura encore été riche en actualité concernant la cybercriminalité.

Labo virtuel pour auditer/mettre en place des contre-mesures

Comment vérifier, avant la mise en production, qu'il n'existe pas de faille de sécurité ? Comment tester l'efficacité des protections mises en place ?

Claque pour le black market français

Des pirates informatiques basés à Toulouse et Montpellier arrêtés après avoir fait du business de cartes bancaires dans le Black Market.

Un site de paris en ligne joue à pile ou face avec ses clients

Le site Internet de pari en ligne Bet first faillible aux actions malveillantes des pirates.

La banque algérienne CPA piratée

Le Crédit Populaire d'Algérie visité par un pirate informatique.

Ecrit par CybStup le 27.01.2011 à 17h00

#

Modérateur ZATAZ

Inscrit le 12-01-2008

Pour ceux qui habiteraient sur Mars, résumons. Le compte Facebook du président de la République française est un piratage politique, le message diffusé est suffisamment explicite. Mark Zuckerberg fondateur de Facebook, a eu sa page de fan légèrement barbouillée mais rien n'indique que les attaquants avaient les identifiants.

Ici, il est question d'une étude de cas et non d'informations relatives à ces récents incidents qui ont fait l'actualité. Les vulnérabilité de type cross-site scripting (XSS) ne touchent pas Facebook à proprement parlé et ne sont pas de nouvelles attaques. Comme vous le constatez sur les captures vous avez des URL victimes qui contiennent un "%3D", c'est l'encodage pour le signe "=" puis des caractères qui ont un double encodage à l'aide de "%25", grosso le but est d'inclure un code javascript malicieux hébergé sur un serveur distant en exploitant une vulnérabilité XSS sur le site de la victime. Généralement, ce script va se "greffer" sur la page à l'emplacement de la balise href du plugins "like.php" de Facebook et va se charger de dérober les informations ; les mêmes qui sont floutées sur la capture d'écran. Pour plus de discrétion, l'attaquant utilise ensuite ce qu'on nomme le typo-squatting, c'est à dire qu'il enregistre au préalable un nom de domaine analogue (proche) à celui de sa cible, Facebook. Puis il utilise une autre technique, celle du site miroir, c'est une copie conforme de la page dans le but d'hameçonner (phishing) les identifiants. Dans l'exemple, la page "login.php" va effectuer une requête de type POST sur login2.php qui va écrire dans les informations dérobées dans le fichier "login.txt" puis rediriger le navigateur utilisateur vers la "social-link.php" qui va proposer par une technique d'ingénierie sociale de télécharger et d'installer une application... malveillante.

Même si ces combinaisons semblent complexes, ça reste de l'amateurisme.