Documente Academic
Documente Profesional
Documente Cultură
comptes Facebook, pour que vous soyez en mesure de les repérer et ainsi de ne pas vous faire
avoir. Je ne veux pas être tenu pour responsable si vous les utilisés contre quelqu’un. Je ne les
ai d’ailleurs jamais utilisées pour pirater un compte d’une autre personne. Notez également
que ces techniques peuvent être utilisées pour pirater d’autre type de sites Web comme
Twitter, Windows Live, forums, blogs, etc…
Heureusement, depuis que les principaux sites utilises des connexions sécurisées, cette
applications est devenue inutile. Elle n’est d’ailleurs plus mise à jour et ne fonctionne plus
avec les dernières versions de Firefox.
Je vais vous montrer maintenant les différentes façons de pirater un compte Facebook.
1javascript:alert(document.cookie)
Puis tapez sur Entrée. Une boîte de dialogue comme celle-ci doit apparaître :
Copiez maintenant le texte affiché, dans un fichier texte sur clé USB, par exemple. Pour ainsi
pouvoir le transférer sur votre ordinateur. Au lieu de tous retaper, l’astuce c’est de faire
Ctrl+C pour copier le contenu de la boîte de dialogue dans le presse-papier de Windows.
Maintenant, une fois sur votre ordinateur, ouvrez le fichier texte sur votre clé USB. Ainsi que
votre navigateur. Ici, je vais encore utiliser Firefox, car il dispose d’outils d’injection de
cookies assez simple. Si ce n’est pas déjà fait, installez l’extension Greasemonkey à votre
navigateur. Puis installez le script Cookie Injector. Maintenant, rendez-vous sur la page
d’accueil de Facebook (déconnectez vous, si ce n’est pas déjà fait). Là ne saisissez aucun nom
d’utilisateur, ni mot de passe. Faites juste Alt+C pour lancer l’injecteur de cookies. Là dans la
petite boîte de dialogue qui apparaît, copiez le contenu de votre fichier texte et faite OK.
Puis actualisez la page en faisant F5. Et vous vous retrouverez connecté via la session de votre
victime.
Enfin, normalement, je viens de voir que Facebook utilise maintenant, pour les navigateurs
récents, des cookies HttpOnly. Ces cookies ne sont pas visible dans le navigateur donc la
commande donnée précédemment ne peux pas fonctionner pour Facebook. Mais peut toujours
fonctionner pour d’autres sites Web !
La solution pour éviter ce problème est de ne jamais laisser votre ordinateur seul avec une
connexion ouverte. La meilleure solution pour éviter ça, selon moi, et de verrouiller votre
session utilisateur avec un mot de passe. Sous Windows faites toujours Windows+L avant de
laisser votre ordinateur. Si vous n’avez pas mit de mot de passe sur votre session Windows
faites le rapidement en faisant Ctrl+Alt+Suppr et en cliquant sur « Changer le mot de
passe ». Sous Linux, utilisez le menu Utilisateur/Verrouiller.
Double cliquez sur le mot password après type, puis changez le par text. Faite Entrée. Le
mot de passe doit maintenant s’afficher à la place des petits ronds.
Pour Firefox, c’est plus simple. Après avoir sélectionné le nom de l’utilisateur pour afficher
son mot de passe, faites un clique droit sur le mot de passe puis « Examiner l’élément ». Une
barre doit s’afficher en bas. Cliquez sur la deuxième icône avec les trois barres bleues. Puis,
comme dans Internet Explorer, changez la valeur de password par text.
Pour Google Chrome, même manipulation que pour Firefox. Clique droit
« Inspecter l’élément », puis changer la valeur de password par text.
La solution : pareil, toujours verrouiller sa session, et ne pas enregistrer son mot de passe sur
l’ordinateur. D’autant qu’ils peuvent même être retrouvés via une autre session de l’ordinateur
à l’aide d’un logiciel tel que OSForensics (merci Korben😉 ).
L’utilisateur n’a pas enregistré son mot de passe
Bon, là c’est plus dur, mais pas impossible. En effet si on analyse les messages envoyés par le
navigateur à Facebook à l’aide d’un « sniffer » classique tel que Wireshark ou Microsoft
Network Monitor. On obtient une « bouillie chiffrée », incompréhensible si on n’a pas la clé
de déchiffrement des serveurs de Facebook.
Donc, comment faire ? Le moyen, mettre ce qu’on appel un hook sur l’API de chiffrage de
Windows. Pour cela, on peut par exemple utiliser un petit utilitaire baptisé oSpy (encore
merci à Korben😀 ). Sachez que certains chevaux de Troie peuvent utiliser la même technique
pour récupérer vos mots de passes. Donc, une fois l’utilitaire démarré, attachez le au
navigateur, via Capture/Attach to Process…, sélectionnez le processus du navigateur. Par
exemple iexplore.exe pour Internet Explorer. Puis cliquez sur Start. Laissez l’ordinateur à
la victime pour qu’elle navigue sur Facebook. Une fois fini, ré-affichez la fenêtre d’oSpy et
dans Find: tapez pass. La trame contenant le mot de passe doit normalement s’afficher. Il
vous suffit alors de le lire.
On peut également utiliser une sorte de logiciel espion appelé Keylogger pour enregistrer les
touches saisies par l’utilisateur. Il existe même des versions matériels qui se branchent entre le
clavier et l’ordinateur.
Solution pour ne pas se faire avoir : là c’est plus dur de ce prémunir, vu que ce genre de
Troyen peut se trouver dans n’importe quel programme téléchargé sur Internet. La meilleur
solution reste d’avoir un antivirus à jour, bien sûr. Un anti-spyware également à jour. Et de ne
pas installer n’importe quel logiciel trouvé on ne sait où. N’oubliez pas également de vérifier
que le « Contrôle de compte d’utilisateur » est bien activé dans le Panneau de
configuration/Comptes et protection des utilisateurs/Comptes d’utilisateurs/Paramètres de
contrôle de compte d’utilisateur.
Vous n’avez pas accès à l’ordinateur
connecté à Facebook
Dans les méthodes précédentes, je vous ai montré comment on peut pirater un compte
Facebook quand on a accès à l’ordinateur qui ce connecte. Maintenant, si on n’y a pas accès,
comment faire ?
Le principe de fonctionnement d’une attaque Brute Force est simple : utiliser toutes les
combinaisons de mots de passe possibles jusqu’à trouver le bon. Donc, plus un mot de passe
est long et compliqué (lettres, chiffres, symboles), plus le programme mettra du temps à le
trouver.
Le principe de l’attaque par dictionnaire est également simple : utiliser tous les mots d’un
dictionnaire préchargé par le programme pour trouver le mot de passe. Avec également leurs
variantes (majuscules, lettres inversées, etc…).
Comme vous pouvez le voir, ces méthodes peuvent s’avérer longues en fonction de la
complexité des mots de passe utilisés.
La solution : utiliser des mots de passe sans mots se trouvant dans le dictionnaire. N’ayant
également aucun rapport avec vous (par exemple, le nom de votre chien, etc…). Des mots de
passe assez long et comportant des caractères spéciaux (@, #, €, ¤, µ, etc…).
Un petit tableau vous montrant un aperçu des délais de découvertes de mots de passe par
Brute Force :
Temps pour Brute Forcer un mot de passe considérant 10000 tentatives par secondes
Majuscules, minuscules,
Minuscules (26 Majuscules, minuscules,
nombres, ponctuation (94
caractères) nombres (62 caractères)
caractères)
Longueur = 5
19 minutes 1 jour 8 jours
caractères
Longueur = 6
8 heures 65 jours 2 ans
caractères
Longueur = 7
9 jours 11 ans 200 ans
caractères
Longueur = 8
241 jours 692 ans 19000 ans
caractères
Longueur = 9
17 ans 42000 ans 1,8 millions d’années
caractères
La méthode par phishing
Le phishing est une méthode reposant sur l’ingénierie sociale. On attire la victime dans un
piège où elle sera amené à saisir ses informations d’identification à Facebook sur un site
pirate. Cette page ressemble exactement à l’originale, sauf que les informations saisies par la
victime sont envoyé directement au pirate. Ce pirate aura ouvert un compte chez un hébergeur
et y aura installé un site Web, ressemblant à la page de connexion, et un petit script récupérant
les informations saisies dans le faux formulaire de connexion.
Solution : toujours se connecter à Facebook en entrant son adresse dans la barre d’adresse du
navigateur. Vérifier les points de sécurités, en orange sur cette capture d’écran :
Ne jamais entrer ses informations de connexion via un lien donné par un inconnu. Vérifier
que la navigation sécurisée est activée dans les paramètres de sécurité de Facebook :
https://www.facebook.com/settings?tab=security§ion=browsing&view
Il existe bien entendu d’autres méthodes pour pirater des comptes. Certaines exploitant des
failles de Facebook encore non corrigées.
J’espère ne pas vous avoir fait trop peur avec cet article et que vous comprendrez les raisons
de rester vigilant.
Et n’oubliez surtout pas que la meilleur protection pour vos données se trouve entre
la chaise et le clavier😉 .