All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Reconnect, un outil pour pirater des comptes liés à Facebook

Par Laurent LaSalle – le dans Actualités
Comment faire pour qu'une entreprise de la taille de Facebook réagisse plus rapidement devant d'importantes failles de sécurité? Offrez aux internautes le moyen d'exploiter celles-ci plus facilement.

«J’ai l’impression qu’il faudra qu’un problème relativement grave survienne pour justifier un tel changement drastique», a mentionné un ingénieur Facebook au sujet de cette vulnérabilité.

C’est exactement ce que la firme de sécurité Sakurity a fait la semaine dernière en lançant le service Reconnect. Le plus absurde dans cette histoire, c’est que la vulnérabilité en question est loin d’être nouvelle.

En effet, le spécialiste en sécurité Egor Homakov à l’emploi de Sakurity a d’abord avisé Facebook en janvier 2014 d’une importante vulnérabilité affectant Facebook Connect, fonction qui permet aux internautes de s’authentifier à d’autres services web par le biais du réseau social. Essentiellement, un pirate n’a qu’à forger une URL exploitant l’une des deux failles découvertes par Homakov et inciter un internaute à cliquer sur le lien afin de perpétrer une attaque de type Cross-Site Request Forgery (CSRF).

«C’est l’un de ces problèmes dont nous avons eu connaissance depuis un certain temps, mais auquel nous n’avons pas trouvé de solution viable», a répondu un ingénieur Facebook à l’époque, suite au courriel de Homakov concernant la vulnérabilité. «Il y a un débat [en interne] sur les risques réels associés à cette vulnérabilité, qui demeure quelque peu théorique.»

«Appliquer la protection des connexions de type CSRF est quelque chose que l’on refuse de faire ici depuis plusieurs années étant donné que toute tentative a eu pour conséquence de briser un grand nombre d’extensions, d’intégrations et d’autres entourloupettes. J’ai l’impression qu’il faudra qu’un problème relativement grave survienne pour justifier un tel changement drastique.»

Homakov a d’abord rédigé un billet sur son blogue révélant en détail sa découverte, espérant ainsi que sa publication attire l’attention de la communauté de spécialistes en sécurité informatique. À son avis, lorsqu’une entreprise doit choisir entre la sécurité et la compatibilité, la première option devrait toujours l’emporter sur la seconde.

Devant l’inaction de Facebook qui perdure depuis maintenant plus d’un an, Homakov a pris la décision controversée de déployer un outil facilitant l’exploitation de cette vulnérabilité. Puisque l’URL malicieuse doit être forgée d’une façon particulière selon les sites qui emploient la fonction Facebook Connect, l’outil limite les utilisateurs aux services About.me, Angel.co, Bit.ly, Booking.com, Mashable.com, StumbleUpon.com et Vimeo.com.

Comment fonctionne l’attaque en question?

À noter que cette vulnérabilité ne permet toutefois pas au pirate d’accéder au réel compte Facebook de la victime.

L’outil de Sakurity permet de forger un lien visant à abuser une vulnérabilité de connexion triple de type CSRF présente dans la fonction Facebook Connect.

Lorsque la victime clique sur l’URL générée par l’outil, elle se déconnecte (involontairement) de son compte Facebook pour se connecter sur un compte conçu spécifiquement par le pirate. Au même moment, les comptes de la victime sur les autres services qui emploient la fonction Facebook Connect se retrouvent liés au faux compte.

Une fois que le pirate obtient l’accès aux comptes des autres services, il peut s’introduire dans ceux-ci, modifier les mots de passe, lire les messages privés, et essentiellement faire tout ce que le service permet à ses membres.

À noter que cette vulnérabilité ne permet toutefois pas au pirate d’accéder au réel compte Facebook de la victime – ce qui peut expliquer jusqu’à un certain point l’inaction de Facebook à cet égard.

Comment se prémunir contre ce type d’attaque?

La façon la plus simple de se prémunir contre ce type d’attaque est de déconnecter tous les comptes des services sur lesquels vous vous êtes inscrits via Facebook Connect. Il va de soi également qu’un internaute peut facilement comprendre que son identité a été usurpée de la sorte une fois qu’il retournera sur Facebook, au contrôle d’un compte qui lui sera inconnu.

Vidéo récente
- Actualités

La NASA prévoit d'explorer Mars à l'horizon 2033

Les dernières nouvelles

La mission ExoMars 2020 reportée à cause d’un problème technique

La mission ExoMars 2020 reportée à cause d’un problème technique

Branchez-vous -
Discrimination : Youtube attaqué par des membres de la communauté LGBTQ

Discrimination : Youtube attaqué par des membres de la communauté LGBTQ

Matthieu Carlier -
Risque d’explosion : certains Macbook Pro de 15 pouces interdits de vol

Risque d’explosion : certains Macbook Pro de 15 pouces interdits de vol

Branchez-vous -

Plus d'actualités

Spectacles 3 : Snapchat annonce la sortie de ses lunettes connectées

Spectacles 3 : Snapchat annonce la sortie de ses lunettes connectées

Branchez-vous -
Facebook se met au «dark mode» sur Android

Facebook se met au «dark mode» sur Android

Branchez-vous -
Huawei impliqué dans des affaires d’espionnage en Afrique

Huawei impliqué dans des affaires d’espionnage en Afrique

Matthieu Carlier -

Populaires

Avec Google Drive, regardez gratuitement des films en streaming

Avec Google Drive, regardez gratuitement des films en streaming

Branchez-vous -
Mozilla : Firefox va changer de nom

Mozilla : Firefox va changer de nom

Branchez-vous -
Sous Android, Google se débarrasse des mots de passe sur certains sites

Sous Android, Google se débarrasse des mots de passe sur certains sites

Branchez-vous -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .