Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi SignBand de l'école Exia Cesi de Bordeaux (Prix Jeune pousse) et Dicodys de l'ECE Paris (Prix du public).

L'Image du jour

Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi ...

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
3
Réagissez Imprimer Envoyer

Un chercheur en sécurité publie un outil pour pirater les comptes Facebook

En publiant Reconnect, le chercheur en sécurité Egor Homakov espère faire réagir Facebook pour corriger la faille Facebook Login. (crédit : D.R.)

En publiant Reconnect, le chercheur en sécurité Egor Homakov espère faire réagir Facebook pour corriger la faille Facebook Login. (crédit : D.R.)

Parce que Facebook refuse de corriger une faille qu'il a découverte en janvier 2014, un chercheur a publié Reconnect, un outil permettant de pirater des comptes de ce réseau social à partir de sites compatibles Facebook Login.

La vengeance est toujours un plat qui se mange froid. Le chercheur en sécurité Egor Homakov de l’entreprise de sécurité Sakurity a livré la semaine dernière Reconnect, un outil qui permet de pirater des comptes Facebook à partir de sites compatibles Facebook Login. Reconnect exploite une faille Cross-Site Request Forgery (CSRF) identifiée dans Facebook Login, un service qui permet aux utilisateurs de se connecter sur des sites tiers en utilisant leur compte Facebook.

Le chercheur avait décidé de divulguer la faille sur son blog personnel en janvier 2014, Facebook ayant refusé de la corriger au motif que le patch aurait mis fin à la compatibilité avec un grand nombre de sites utilisant ce service. « Facebook a refusé de résoudre ce problème il y a un an, et le temps est malheureusement venu de passer au niveau supérieur et de livrer cet outil à la communauté des hackers », a déclaré jeudi Egor Homakov sur son blog.

Reconnect génère des URL associant Facebook Login avec de faux comptes Facebook. Ce détournement pourrait servir potentiellement à mener de massives campagnes de phishing. Quand les victimes potentielles cliquent sur ces URL, elles sont déconnectées de leurs propres comptes Facebook et connectées à de faux comptes du réseau social mis en place par des pirates. Mais en arrière-plan, leurs comptes liés aux sites Web utilisant le service Facebook Login restent connectés aux faux comptes Facebook. « C’est comme ça que les pirates détournent les comptes des victimes sur les sites tiers, et qu’ils en prennent le contrôle. Ils peuvent ensuite changer les mots de passe, lire les messages privés et effectuer un tas d'autres actions malhonnêtes », a expliqué le chercheur de Sakurity.

Reconnect peut aussi générer des URL malveillantes

L'outil proof-of-concept Reconnect peut également générer des URL malveillantes qui permettent de détourner des comptes sur des sites comme Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable et Vimeo. Mais il possible de cibler un grand nombre de sites compatibles avec Facebook Login en saisissant manuellement dans l‘outil les liens qui déclenchent les requêtes de connexion à Facebook au nom des utilisateurs légitimes. « Au total, l'attaque exploite le manque de protection CSRF de trois processus distincts : la connexion et la déconnexion à Facebook et la connexion de comptes tiers », a expliqué Egor Homakov. Selon lui, les deux premiers problèmes peuvent être corrigés par Facebook, mais le troisième doit être corrigé par les sites intégrant Facebook Login.

Facebook a essayé de rendre la faille plus difficile à exploiter, d’une façon qui ne supprime pas la fonctionnalité, et a donné quelques conseils aux développeurs de site Web. « C’est une situation que nous comprenons bien », a indiqué le réseau social dans un communiqué envoyé par courriel. « Les développeurs de sites qui utilisent Facebook Login peuvent éviter le problème en suivant nos bonnes pratiques et en utilisant le paramètre d’état que nous fournissons pour OAuth Login ».

Facebook a également déclaré que le réseau social avait « effectué plusieurs changements pour empêcher les connexions CSRF » et qu’elle étudiait « d’autres solutions qui permettent de préserver la fonctionnalité Facebook Login mise en place par un grand nombre de sites ».

COMMENTAIRES de l'ARTICLE3

le 15/03/2015 à 23h10 par Visiteur5693 :

@Visiteur5688 : pas mal ton arnaque, tout est fait pour croire au pigeon que c'est possible :)

Signaler un abus

le 13/03/2015 à 13h42 par Visiteur5688 :

Pour pirater un compte facebook facilement j'utilise facecompte.com
Pirater un compte facebook maintenant c' est à la porté de tous!

Signaler un abus

le 13/03/2015 à 00h24 par Visiteur5686 :

très bien

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité