La page piratée de Nicolas Sarkozy annonçant qu’il ne se présenterait pas en 2012.
Un piratage d'un compte Facebook, ce n'est pas lorsque votre petit frère ou neveu profite de votre session restée active pour écrire des âneries sur un mur. Il s'agit ici d'usurpation de compte à des fins malveillantes, principalement pour propager, via Facebook, des vers et autres programmes malveillants. Par exemple, un utilisateur de ce réseau social vient de se faire condamner à 360 millions de dollars pour avoir volé 116000 identifiants grâce auxquels il a envoyé plus de 7,5 millions de messages de spam, dont certains menant à des sites piégés.
Comme le montre cet exemple, si les pirates usurpent des comptes Facebook aujourd'hui, c'est principalement un moyen de se constituer un réseau de botnets. L'usurpateur écrit un message sur le mur de compte piraté et sur celui de ses amis, contenant un code malveillant, qui va essayer d'infecter celui ou celle qui le consulte. Le visiteur infecté va de la même manière infecter ses proches. De PC en PC, le pirate va se constituer son réseau de PC zombies et, s'il en a besoin, allègrement voler des quantités d'informations privées.
Plus rarement, ces attaques ciblent des pages de personnalités et ont un but de dénigrement ou politique. Deux autres exemples récents: la page du président français Nicolas Sarkozy annonçant qu'il ne se présenterait pas en 2012, ou celle de Mark Zuckerberg, PDG milliardaire de Facebook, qu'il transformerait sa société en institution de
microcrédits.
Comment se fait-on pirater un compte Facebook ? En premier lieu, le pirate va tenter de passer par les mots de passe les plus classiques: azerty, 123456, password, date de naissance... Si cela ne marche pas, il peut tenter d'utiliser une faille logique, s'il en trouve une. Par exemple, en connaissant la réponse à la «question secrète» de la victime, et si le service n'impose pas de passer par une adresse mail connue, le pirate peut changer les identifiants. C'est de cette manière que le compte Tweeter de Barrack Obama a été usurpé il y a quelques mois.
Si cela ne marche pas, le pirate passe à ce qu'on appelle la force brute. C'est un programme qui va tester comme mot de passe toute une liste de mots, carrément un dictionnaire complet (on en trouve langue par langue selon l'origine de la victime) et il va les essayer un par un. Jusqu'à trouver le bon. On peut aussi lancer plusieurs sessions du logiciel en parallèle, pour envoyer quelques milliers de requêtes en très peu de temps. Une machine de monsieur Tout-le-monde permet d'envoyer jusqu'à 2000 requêtes à la seconde, et quelques heures suffisent pour faire le tour du dictionnaire. Évidemment, pour les variations, avec un chiffre à la fin ou au début, il faut quelques heures de plus. S'il y a besoin de passer par la force brute toutes les combinaisons possibles avec chiffres, lettres et caractères spéciaux, là il faut tout un réseau de botnets pour trouver ce mot de passe.
L'autre possibilité reste la ruse, ce que l'on appelle techniquement l'ingénierie sociale. Par exemple le pirate va envoyer un faux mail et réclamer le mot de passe pour une fausse raison. Autrement dit c'est du phishing.
Pour l'heure, Facebook ne bloque pas ces robots. En revanche, Google le fait très simplement avec les «captcha» (le fait de reproduire des lettres et chiffres plus ou moins tordus qui apparaissent sur une image) qu'il faut entrer à chaque 3 mots de passe ratés. Ce qui bloque le passage par force brute.
Mais il faut bien se rendre compte que si une même adresse IP envoie 2000 requêtes par seconde, on s'en rend vite compte sur le serveur ! Et à moins de savoir bien se masquer, on est vite identifié.
(Source : JDN)
Comme le montre cet exemple, si les pirates usurpent des comptes Facebook aujourd'hui, c'est principalement un moyen de se constituer un réseau de botnets. L'usurpateur écrit un message sur le mur de compte piraté et sur celui de ses amis, contenant un code malveillant, qui va essayer d'infecter celui ou celle qui le consulte. Le visiteur infecté va de la même manière infecter ses proches. De PC en PC, le pirate va se constituer son réseau de PC zombies et, s'il en a besoin, allègrement voler des quantités d'informations privées.
Plus rarement, ces attaques ciblent des pages de personnalités et ont un but de dénigrement ou politique. Deux autres exemples récents: la page du président français Nicolas Sarkozy annonçant qu'il ne se présenterait pas en 2012, ou celle de Mark Zuckerberg, PDG milliardaire de Facebook, qu'il transformerait sa société en institution de
microcrédits.
Comment se fait-on pirater un compte Facebook ? En premier lieu, le pirate va tenter de passer par les mots de passe les plus classiques: azerty, 123456, password, date de naissance... Si cela ne marche pas, il peut tenter d'utiliser une faille logique, s'il en trouve une. Par exemple, en connaissant la réponse à la «question secrète» de la victime, et si le service n'impose pas de passer par une adresse mail connue, le pirate peut changer les identifiants. C'est de cette manière que le compte Tweeter de Barrack Obama a été usurpé il y a quelques mois.
Si cela ne marche pas, le pirate passe à ce qu'on appelle la force brute. C'est un programme qui va tester comme mot de passe toute une liste de mots, carrément un dictionnaire complet (on en trouve langue par langue selon l'origine de la victime) et il va les essayer un par un. Jusqu'à trouver le bon. On peut aussi lancer plusieurs sessions du logiciel en parallèle, pour envoyer quelques milliers de requêtes en très peu de temps. Une machine de monsieur Tout-le-monde permet d'envoyer jusqu'à 2000 requêtes à la seconde, et quelques heures suffisent pour faire le tour du dictionnaire. Évidemment, pour les variations, avec un chiffre à la fin ou au début, il faut quelques heures de plus. S'il y a besoin de passer par la force brute toutes les combinaisons possibles avec chiffres, lettres et caractères spéciaux, là il faut tout un réseau de botnets pour trouver ce mot de passe.
L'autre possibilité reste la ruse, ce que l'on appelle techniquement l'ingénierie sociale. Par exemple le pirate va envoyer un faux mail et réclamer le mot de passe pour une fausse raison. Autrement dit c'est du phishing.
Pour l'heure, Facebook ne bloque pas ces robots. En revanche, Google le fait très simplement avec les «captcha» (le fait de reproduire des lettres et chiffres plus ou moins tordus qui apparaissent sur une image) qu'il faut entrer à chaque 3 mots de passe ratés. Ce qui bloque le passage par force brute.
Mais il faut bien se rendre compte que si une même adresse IP envoie 2000 requêtes par seconde, on s'en rend vite compte sur le serveur ! Et à moins de savoir bien se masquer, on est vite identifié.
(Source : JDN)
Un piratage d'un compte Facebook, ce n'est pas lorsque votre petit frère ou neveu profite de votre session restée active pour écrire des âneries sur un mur. Il s'agit ici d'usurpation de compte à des fins malveillantes, principalement pour propager, via Facebook, des vers et autres programmes malveillants. Par exemple, un utilisateur de ce réseau social vient de se faire condamner à 360...