Piratage de Facebook via un smartphone

Des ingénieurs en sécurité informatique de la société américaine MetaIntell ont alerté au début du mois de juillet le géant américain Facebook au sujet d’une faille qui pourrait être nuisible aux utilisateurs du portail communautaire.

Sont ciblés par cette vulnérabilité les « Facebookiens » qui passeraient par les applications mobiles proposés par des sociétés tierces. Une faille considérée comme critique, découverte dans l’outil de connexion de Facebook. Ce bug pourrait mettre en danger des millions d’utilisateurs en cas d’exploitation malveillante car le Social Login de Facebook, l’outil qui bug, est exploité dans plus de 70 applications gratuites sur iOS et une trentaine pour Android.

Le problème est malheureusement assez simple. Un pirate, via une application malveillante, ou un XSS tout bête, peut mettre la main sur le fameux jeton de connexion utilisé par le Social Login de Facebook. En gros, vous êtes sur un site vous proposant de jouer, de partager des informations. Pour vous « reconnaitre », le site vous propose d’utiliser votre compte Facebook. Vous cliquez sur le bouton dédié, le fameux Social Login, et vous voilà à surfer paisiblement dans les options du site en question. Sauf qu’il y a un bug de taille. Le fameux jeton qui permet de vous reconnaitre utilise le protocole OAuth2, mais il n’est pas chiffré. Bilan, ce sésame, en clair, pourrait être récupéré et utilisé par un pirate.

La solution proposée par Meta Intell ? Bannir toutes les connexions Facebook proposées par des applications tierces. Est concerné par ce probléme, Facebook SDK V3.15.0.

Pendant ce temps…

Facebook ferme les accès à un botnet venu de Gréce qui, à son apogée, a compromis 50.000 comptes et infecté 250.000 ordinateurs. Mission de ce code malveillant, baptisé Lecpetex, produire de la monnaie numérique, voler les mails et les coordonnées bancaires de ses victimes. Derriére ce Botnet, des grecs âgés de 31 et 27 ans. Ils auraient lancé 20 campagnes de pourriels entre Décembre 2013 et Juin 2014.

greekbitcoin

Mission, infiltrer un maximum de machine. Ils ont été arrêtés le 3 juillet. Au moment de leurs arrestations, les présumés pirates étaient en train de mettre en place un système pour blanchir leurs bitcoins. Parmi les victimes de cette attaque, un compte électronique appartenant au ministère grec de la Marine marchande.

Les deux présumés pirates s’étaient amusés à diffuser des messages à destination de Facebook, avec les insultes habituelles, après la fermeture, par Facebook, des comptes malveillants utilisés dans les vols. Facebook avait déjà agit de la sorte en coupant les « connexions » aux réseaux de zombies Mariposa et Koobface wom.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.