XMPP (Extensible Messaging and Presence Protocol), est un protocole qui a été créé pour faire de la messagerie instantanée. Devenu plus populaire depuis son utilisation comme protocole d’échanges par le logiciel GTalk de Google mais aussi au sein du chat de Facebook, ainsi que dans IChat de Apple (compatible avec XMPP, bien qu’utilisant AIM), XMPP est utilisé par des centaines de millions de personnes à travers le monde sans qu’elles ne sachent elles même qu’elles sont en train de l’utiliser…
Le hic, c’est que XMPP est parfaitement attaquable par des affreux piiiiirates (ou par des pentesteurs professionnels bien sous tous rapport). L’outil qui permet cela s’appelle XMPPloit. Il s’agit d’un outil en ligne de commande qui permet de lancer des attaques contre les connexions XMPP en se plaçant comme passerelle entre le client et le serveur.
Bien qu’étant chiffré (donc sécurisé), le protocole XMPP est sensible à des attaques qui permettent de forcer un client à utiliser une connexion 100 % en clair (non chiffrée). Du coup, il devient très simple de voir ce qui transite dans la communication et récupérer le mot de passe de messagerie (Gmail dans la démo) de n’importe qui pour peu que l’attaquent soit entre le client et le serveur. Même les mails qui débarquent dans le client Google Talk de Google passent en clair.
Encore plus fort : l’attaquant peut s’il le souhaite modifier à la volée les contacts de sa victime. De quoi devenir parano… Bref, si vous êtes parano, je vous invite à jeter un oeil à des systèmes de chat (protocoles, softs, plugins) un peu plus sécurisés comme ceux qu’on retrouve ici.
XMPPloit est téléchargeable ici.