Derrière ce titre racoleur, je veux juste vous montrer différentes technique de piratage de

comptes Facebook, pour que vous soyez en mesure de les repérer et ainsi de ne pas vous faire
avoir. Je ne veux pas être tenu pour responsable si vous les utilisés contre quelqu’un. Je ne les
ai d’ailleurs jamais utilisées pour pirater un compte d’une autre personne. Notez également
que ces techniques peuvent être utilisées pour pirater d’autre type de sites Web comme
Twitter, Windows Live, forums, blogs, etc…

Il y a quelques temps, tourné sur le Web, un plugin pour Firefox appelé Firesheep. Son

fonctionnement est assez simple, il récupérait les messages envoyés par les navigateurs sur un
réseau local, récupérait les différentes informations de connexions aux sites Web et proposait
de les utiliser pour vous connecter avec le compte de l’autre utilisateur.

Heureusement, depuis que les principaux sites utilises des connexions sécurisées, cette
applications est devenue inutile. Elle n’est d’ailleurs plus mise à jour et ne fonctionne plus
avec les dernières versions de Firefox.

Je vais vous montrer maintenant les différentes façons de pirater un compte Facebook.

Vous avez un accès à un ordinateur

Cette ordinateur est déjà connecté au compte Facebook à
pirater
Cas de figure le plus simple. Il vous suffit de récupérer les cookies de connexion sur la
machine. Pour cela, tapez dans la barre d’adresse, à la place de https://www.facebook.com/, le
code suivant :

1javascript:alert(document.cookie)

Puis tapez sur Entrée. Une boîte de dialogue comme celle-ci doit apparaître :
Copiez maintenant le texte affiché, dans un fichier texte sur clé USB, par exemple. Pour ainsi
pouvoir le transférer sur votre ordinateur. Au lieu de tous retaper, l’astuce c’est de faire
Ctrl+C pour copier le contenu de la boîte de dialogue dans le presse-papier de Windows.
Maintenant, une fois sur votre ordinateur, ouvrez le fichier texte sur votre clé USB. Ainsi que
votre navigateur. Ici, je vais encore utiliser Firefox, car il dispose d’outils d’injection de
cookies assez simple. Si ce n’est pas déjà fait, installez l’extension Greasemonkey à votre
navigateur. Puis installez le script Cookie Injector. Maintenant, rendez-vous sur la page
d’accueil de Facebook (déconnectez vous, si ce n’est pas déjà fait). Là ne saisissez aucun nom
d’utilisateur, ni mot de passe. Faites juste Alt+C pour lancer l’injecteur de cookies. Là dans la
petite boîte de dialogue qui apparaît, copiez le contenu de votre fichier texte et faite OK.

Puis actualisez la page en faisant F5. Et vous vous retrouverez connecté via la session de votre
victime.

Enfin, normalement, je viens de voir que Facebook utilise maintenant, pour les navigateurs
récents, des cookies HttpOnly. Ces cookies ne sont pas visible dans le navigateur donc la
commande donnée précédemment ne peux pas fonctionner pour Facebook. Mais peut toujours
fonctionner pour d’autres sites Web !

La solution pour éviter ce problème est de ne jamais laisser votre ordinateur seul avec une
connexion ouverte. La meilleure solution pour éviter ça, selon moi, et de verrouiller votre
session utilisateur avec un mot de passe. Sous Windows faites toujours Windows+L avant de
laisser votre ordinateur. Si vous n’avez pas mit de mot de passe sur votre session Windows
faites le rapidement en faisant Ctrl+Alt+Suppr et en cliquant sur « Changer le mot de
passe ». Sous Linux, utilisez le menu Utilisateur/Verrouiller.

L’ordinateur n’est pas connecté à Facebook, mais l’a déjà

été
Avec un peu de chance, l’utilisateur a choisi d’enregistrer le mot de passe dans le navigateur.
On part toujours du principe que l’utilisateur n’a pas verrouillé sa session. Donc en fonction
du navigateur, la procédure est légèrement différente. Sous Internet Explorer, dans le champ
« Adresse électronique », sélectionnez l’adresse de la victime. Son mot de passe doit être
remplacé par des points. Faite maintenant F12. Une fenêtre doit s’ouvrir avec sur la gauche,
un arbre représentant la structure de la page Web. Cliquez sur le bouton en forme de curseur
de souris dans la barre d’outils de cette fenêtre, puis cliquez sur le mot de passe. La ligne
sélectionnée dans la partie gauche doit changer pour afficher quelque chose du genre :

1<input type="password" name="pass" id="pass" tabindex="2">

Double cliquez sur le mot password après type, puis changez le par text. Faite Entrée. Le
mot de passe doit maintenant s’afficher à la place des petits ronds.

Pour Firefox, c’est plus simple. Après avoir sélectionné le nom de l’utilisateur pour afficher
son mot de passe, faites un clique droit sur le mot de passe puis « Examiner l’élément ». Une
barre doit s’afficher en bas. Cliquez sur la deuxième icône avec les trois barres bleues. Puis,
comme dans Internet Explorer, changez la valeur de password par text.
Pour Google Chrome, même manipulation que pour Firefox. Clique droit
« Inspecter l’élément », puis changer la valeur de password par text.

La solution : pareil, toujours verrouiller sa session, et ne pas enregistrer son mot de passe sur
l’ordinateur. D’autant qu’ils peuvent même être retrouvés via une autre session de l’ordinateur
à l’aide d’un logiciel tel que OSForensics (merci Korben😉 ).
L’utilisateur n’a pas enregistré son mot de passe
Bon, là c’est plus dur, mais pas impossible. En effet si on analyse les messages envoyés par le
navigateur à Facebook à l’aide d’un « sniffer » classique tel que Wireshark ou Microsoft
Network Monitor. On obtient une « bouillie chiffrée », incompréhensible si on n’a pas la clé
de déchiffrement des serveurs de Facebook.

Donc, comment faire ? Le moyen, mettre ce qu’on appel un hook sur l’API de chiffrage de
Windows. Pour cela, on peut par exemple utiliser un petit utilitaire baptisé oSpy (encore
merci à Korben😀 ). Sachez que certains chevaux de Troie peuvent utiliser la même technique
pour récupérer vos mots de passes. Donc, une fois l’utilitaire démarré, attachez le au
navigateur, via Capture/Attach to Process…, sélectionnez le processus du navigateur. Par
exemple iexplore.exe pour Internet Explorer. Puis cliquez sur Start. Laissez l’ordinateur à
la victime pour qu’elle navigue sur Facebook. Une fois fini, ré-affichez la fenêtre d’oSpy et
dans Find: tapez pass. La trame contenant le mot de passe doit normalement s’afficher. Il
vous suffit alors de le lire.
On peut également utiliser une sorte de logiciel espion appelé Keylogger pour enregistrer les
touches saisies par l’utilisateur. Il existe même des versions matériels qui se branchent entre le
clavier et l’ordinateur.

Solution pour ne pas se faire avoir : là c’est plus dur de ce prémunir, vu que ce genre de
Troyen peut se trouver dans n’importe quel programme téléchargé sur Internet. La meilleur
solution reste d’avoir un antivirus à jour, bien sûr. Un anti-spyware également à jour. Et de ne
pas installer n’importe quel logiciel trouvé on ne sait où. N’oubliez pas également de vérifier
que le « Contrôle de compte d’utilisateur » est bien activé dans le Panneau de
configuration/Comptes et protection des utilisateurs/Comptes d’utilisateurs/Paramètres de
contrôle de compte d’utilisateur.
Vous n’avez pas accès à l’ordinateur
connecté à Facebook
Dans les méthodes précédentes, je vous ai montré comment on peut pirater un compte
Facebook quand on a accès à l’ordinateur qui ce connecte. Maintenant, si on n’y a pas accès,
comment faire ?

La méthode Brute Force et l’attaque par dictionnaire

L’une des méthode les plus simple à mettre en place est la méthode Brute Force et l’attaque
par dictionnaire. Il existe sur Internet de nombreux utilitaires pour le faire. La plupart sont
des fakes vérolés !

Le principe de fonctionnement d’une attaque Brute Force est simple : utiliser toutes les
combinaisons de mots de passe possibles jusqu’à trouver le bon. Donc, plus un mot de passe
est long et compliqué (lettres, chiffres, symboles), plus le programme mettra du temps à le
trouver.

Le principe de l’attaque par dictionnaire est également simple : utiliser tous les mots d’un
dictionnaire préchargé par le programme pour trouver le mot de passe. Avec également leurs
variantes (majuscules, lettres inversées, etc…).

Comme vous pouvez le voir, ces méthodes peuvent s’avérer longues en fonction de la
complexité des mots de passe utilisés.

La solution : utiliser des mots de passe sans mots se trouvant dans le dictionnaire. N’ayant
également aucun rapport avec vous (par exemple, le nom de votre chien, etc…). Des mots de
passe assez long et comportant des caractères spéciaux (@, #, €, ¤, µ, etc…).

Un petit tableau vous montrant un aperçu des délais de découvertes de mots de passe par
Brute Force :

Temps pour Brute Forcer un mot de passe considérant 10000 tentatives par secondes
Majuscules, minuscules,
Minuscules (26 Majuscules, minuscules,
nombres, ponctuation (94
caractères) nombres (62 caractères)
caractères)
Longueur = 5
19 minutes 1 jour 8 jours
caractères
Longueur = 6
8 heures 65 jours 2 ans
caractères
Longueur = 7
9 jours 11 ans 200 ans
caractères
Longueur = 8
241 jours 692 ans 19000 ans
caractères
Longueur = 9
17 ans 42000 ans 1,8 millions d’années
caractères
La méthode par phishing
Le phishing est une méthode reposant sur l’ingénierie sociale. On attire la victime dans un
piège où elle sera amené à saisir ses informations d’identification à Facebook sur un site
pirate. Cette page ressemble exactement à l’originale, sauf que les informations saisies par la
victime sont envoyé directement au pirate. Ce pirate aura ouvert un compte chez un hébergeur
et y aura installé un site Web, ressemblant à la page de connexion, et un petit script récupérant
les informations saisies dans le faux formulaire de connexion.

Solution : toujours se connecter à Facebook en entrant son adresse dans la barre d’adresse du
navigateur. Vérifier les points de sécurités, en orange sur cette capture d’écran :

Ne jamais entrer ses informations de connexion via un lien donné par un inconnu. Vérifier
que la navigation sécurisée est activée dans les paramètres de sécurité de Facebook :
https://www.facebook.com/settings?tab=security&section=browsing&view

Il existe bien entendu d’autres méthodes pour pirater des comptes. Certaines exploitant des
failles de Facebook encore non corrigées.

J’espère ne pas vous avoir fait trop peur avec cet article et que vous comprendrez les raisons
de rester vigilant.

Et n’oubliez surtout pas que la meilleur protection pour vos données se trouve entre
la chaise et le clavier😉 .