La société de pentest Sakurity a découvert une vulnérabilité assez chaude dans Facebook qui permet de profiter d'un manque de protection contre les attaques CSRF (Cross Site Request Forgery) lors de la connexion, de la déconnexion, ou de la connexion via des applications tierces (Bit.ly, Vimeo, Stumbleupon...etc.) à Facebook.
En gros, pour vous la faire simple, en forgeant une URL malicieuse, un vilain pirate peut lier son compte Facebook au vôtre, via le Facebook Login d'un site tiers et ensuite voir la main sur votre profil Facebook (Changer le mot de passe, l'email, lire les messages privés...Etc.).
Cette faille est connue depuis 1 an et Sakurity a depuis longtemps prévenu Facebook qui n'a strictement rien fait pour la corriger, car ils expliquent que ce sont aux développeurs des sites tiers de faire en sorte que ça n'arrive pas en respectant les meilleurs pratiques de FB et en utilisant le paramètre "state" du login OAuth. Du coup, Sakurity est monté d'un cran et propose un outil baptisé Reconnect ainsi qu'un tuto pour permettre à tous les affreux qui veulent aller en prison de choper les accès Facebook d'innocentes victimes. C'est moche, c'est à la limite de la prise d'otage, mais espérons que ça fasse rapidement réagir Facebook et les sites tiers.
En attendant, pour vous protéger de ça, il n'y a pas grand-chose à faire mis à part : NE PAS CLIQUER SUR DES URLs FACEBOOK qui vous seraient envoyées via les réseaux sociaux, via SMS, messagerie instantanée, emails...etc. Et évidemment, évitez de surfer sur des sites louches qui pourraient embarquer la même "astuce" avec un bon gros bouton Facebook Connect.
Et si vous êtes développeur et que vous avez intégré du Facebook login sur vos sites et outils, pensez à vérifier que cet exploit CSRF n'est pas possible chez vous.
20 Responses to “Un outil pour pirater des comptes Facebook”
si j’ai bien compris, faudrait que je me mefie avant de ne PAS partager ton article sur Face de Bouc !!!?
Avec les bonnes listes de blocage de boutons sociaux & tout le bazard (oui car il n’y a pas que de la pub à bloquer sur internet) ça n’arrive pas… ;-)
Tout à fait on sait tous que ce site est louche ;-)
Pouvez-vous nous ne dire plus sur ces blocages je ne connais pas? ABP suffit-il?
Il existe ghostery
Pianote “Fanboy’s Social Blocking List” dans ton moteur de recherche préféré.
Ils ont des failles dans leur authentification mais ce sont les sites tiers qui doivent corriger ça ???
Ils méritent le grand prix de la Bad faith awards 2015 !
Merci pour les infos. Je regarde ça.
Et comment fait-on pour se loguer via réseaux sociaux après…? Ce n’est pas une solution.
Se loguer via réseaux sociaux est à la base du problème en fait.
A partir du moment ou tu te connecte depuis un site tiers, tu prends un risque de toute façon et je ne vois pas en quoi ce serait la faute à Facebook. Après, il n’y a vraiment rien d’alarmant, à exploiter c’est beaucoup plus complqiué que ça en a l’air. Ne pas cliquer sur les URLs louche… Mouais, c’est ce que tout le monde dit mais c’est ce que personne fait, la moindre vidéo avec une paire de fesse et tous les ânes cliquent comme des dinguos.
Tonton, je sais que tu détestes ça alors je me permets de le mettre en commentaire : “en respectant les meilleurs pratiques”, il manque un “E” à “meilleurEs” ;-)
Bisous
Je trouve ça très pratique personnellement.
Je trouve ça très pratique personnellement.
Ghostery permet de choisir au cas part cas ce que l’on veut débloquer.
tu peux ptet essayer de copier coller l’url directement dans ton face book (apres t’etre logge’ directement depuis la barre d’adresse) ?
S’il y a une faille CSRF c’est qu’ils ne maîtrisent pas la validation des données qu’on leur envoie via oauth. C’est à eux de maîtriser cette étape intermédiaire, pas aux sites tiers.
Si on suit ta logique, alors le problème toucherait aussi Facebook et on pourrait faire la même chose sans l’aide d’un site tiers. T’inquiète pas, si Facebook ne fait rien c’est que ça ne vient pas d’eux et d’ailleurs c’est assez clair.
On peut très bien avoir deux process d’authentification sur un même site. Un local et un SSO pour se connecter de l’extérieur. Et dans ce cas il n’y a que le deuxième qui foire.
Je tiens à préciser que ce n’est pas sur le profil facebook qu’on met la main mais plutôt sur le compte de la victime sur le site tiers, et c’est bien la raison pour laquelle que facebook traîne à corriger la faille.