All time Nerds BetterBe Carrières

Reconnect, un outil pour pirater des comptes liés à Facebook

Par Laurent LaSalle – le dans Actualités
Comment faire pour qu'une entreprise de la taille de Facebook réagisse plus rapidement devant d'importantes failles de sécurité? Offrez aux internautes le moyen d'exploiter celles-ci plus facilement.

«J’ai l’impression qu’il faudra qu’un problème relativement grave survienne pour justifier un tel changement drastique», a mentionné un ingénieur Facebook au sujet de cette vulnérabilité.

C’est exactement ce que la firme de sécurité Sakurity a fait la semaine dernière en lançant le service Reconnect. Le plus absurde dans cette histoire, c’est que la vulnérabilité en question est loin d’être nouvelle.

En effet, le spécialiste en sécurité Egor Homakov à l’emploi de Sakurity a d’abord avisé Facebook en janvier 2014 d’une importante vulnérabilité affectant Facebook Connect, fonction qui permet aux internautes de s’authentifier à d’autres services web par le biais du réseau social. Essentiellement, un pirate n’a qu’à forger une URL exploitant l’une des deux failles découvertes par Homakov et inciter un internaute à cliquer sur le lien afin de perpétrer une attaque de type Cross-Site Request Forgery (CSRF).

«C’est l’un de ces problèmes dont nous avons eu connaissance depuis un certain temps, mais auquel nous n’avons pas trouvé de solution viable», a répondu un ingénieur Facebook à l’époque, suite au courriel de Homakov concernant la vulnérabilité. «Il y a un débat [en interne] sur les risques réels associés à cette vulnérabilité, qui demeure quelque peu théorique.»

«Appliquer la protection des connexions de type CSRF est quelque chose que l’on refuse de faire ici depuis plusieurs années étant donné que toute tentative a eu pour conséquence de briser un grand nombre d’extensions, d’intégrations et d’autres entourloupettes. J’ai l’impression qu’il faudra qu’un problème relativement grave survienne pour justifier un tel changement drastique.»

Homakov a d’abord rédigé un billet sur son blogue révélant en détail sa découverte, espérant ainsi que sa publication attire l’attention de la communauté de spécialistes en sécurité informatique. À son avis, lorsqu’une entreprise doit choisir entre la sécurité et la compatibilité, la première option devrait toujours l’emporter sur la seconde.

Devant l’inaction de Facebook qui perdure depuis maintenant plus d’un an, Homakov a pris la décision controversée de déployer un outil facilitant l’exploitation de cette vulnérabilité. Puisque l’URL malicieuse doit être forgée d’une façon particulière selon les sites qui emploient la fonction Facebook Connect, l’outil limite les utilisateurs aux services About.me, Angel.co, Bit.ly, Booking.com, Mashable.com, StumbleUpon.com et Vimeo.com.

Comment fonctionne l’attaque en question?

À noter que cette vulnérabilité ne permet toutefois pas au pirate d’accéder au réel compte Facebook de la victime.

L’outil de Sakurity permet de forger un lien visant à abuser une vulnérabilité de connexion triple de type CSRF présente dans la fonction Facebook Connect.

Lorsque la victime clique sur l’URL générée par l’outil, elle se déconnecte (involontairement) de son compte Facebook pour se connecter sur un compte conçu spécifiquement par le pirate. Au même moment, les comptes de la victime sur les autres services qui emploient la fonction Facebook Connect se retrouvent liés au faux compte.

Une fois que le pirate obtient l’accès aux comptes des autres services, il peut s’introduire dans ceux-ci, modifier les mots de passe, lire les messages privés, et essentiellement faire tout ce que le service permet à ses membres.

À noter que cette vulnérabilité ne permet toutefois pas au pirate d’accéder au réel compte Facebook de la victime – ce qui peut expliquer jusqu’à un certain point l’inaction de Facebook à cet égard.

Comment se prémunir contre ce type d’attaque?

La façon la plus simple de se prémunir contre ce type d’attaque est de déconnecter tous les comptes des services sur lesquels vous vous êtes inscrits via Facebook Connect. Il va de soi également qu’un internaute peut facilement comprendre que son identité a été usurpée de la sorte une fois qu’il retournera sur Facebook, au contrôle d’un compte qui lui sera inconnu.

Continuez votre lecture

Facebook déploie un outil d’entraide en cas de catastrophe

Facebook déploie un outil d’entraide en cas de catastrophe

Laurent LaSalle -
iDict, la nouvelle menace d’iCloud?

iDict, la nouvelle menace d’iCloud?

Laurent LaSalle -
Tim Cook s’engage à renforcer la sécurité d’iCloud

Tim Cook s’engage à renforcer la sécurité d’iCloud

Laurent LaSalle -
Votre compte Facebook a peut-être été piraté!

Votre compte Facebook a peut-être été piraté!

Branchez-vous -
VLC et d’autres lecteurs vidéo vulnérables à une cyberattaque par sous-titres

VLC et d’autres lecteurs vidéo vulnérables à une cyberattaque par sous-titres

Laurent LaSalle -
Microsoft a corrigé un grave bug de sécurité dans Windows Defender

Microsoft a corrigé un grave bug de sécurité dans Windows Defender

Des pirates ont désactivé à distance une série d’appareils iOS en Australie

Des pirates ont désactivé à distance une série d’appareils iOS en Australie

Laurent LaSalle -
Google prête à verser 100 000$ à celui qui piratera le Chromebook à distance

Google prête à verser 100 000$ à celui qui piratera le Chromebook à distance

Laurent LaSalle -
Stagefright 2.0 : Les appareils Android à nouveau vulnérables

Stagefright 2.0 : Les appareils Android à nouveau vulnérables

Laurent LaSalle -
Facebook vous avisera s’il soupçonne que le gouvernement vous espionne

Facebook vous avisera s’il soupçonne que le gouvernement vous espionne

Laurent LaSalle -
Microsoft corrige un vieux bug affectant toutes les versions Windows depuis 95

Microsoft corrige un vieux bug affectant toutes les versions Windows depuis 95

Laurent LaSalle -
Facebook lance un outil permettant de signaler que vous êtes en sécurité

Facebook lance un outil permettant de signaler que vous êtes en sécurité

Laurent LaSalle -
Près de 95% des téléphones Android sont vulnérables à une nouvelle faille de sécurité

Près de 95% des téléphones Android sont vulnérables à une nouvelle faille de sécurité

Laurent LaSalle -
OS X : Google dévoile 3 vulnérabilités importantes

OS X : Google dévoile 3 vulnérabilités importantes

Laurent LaSalle -
EternalRocks, ce ver informatique qui exploite jusqu’à 7 outils de la NSA

EternalRocks, ce ver informatique qui exploite jusqu’à 7 outils de la NSA

Laurent LaSalle -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .