Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Démonstration d’une attaque par login social

Oh wah… Voici une petite attaque qui utilise les protocoles d’authentification de Google / Facebook / Twitter / Linkedin et j’en passe. En effet, quand vous souhaitez vous inscrire sur un site web, vous pouvez soit vous créer un compte de zéro, soit vous identifier avec votre login Facebook ou Twitter ou j’en passe.

Seulement, voilà, avec certains sites mal conçus, un hacker peut tout simplement accéder à votre compte sans avoir besoin de grandes compétences techniques. Voici ce qu’ont découvert les chercheurs de l’équipe d’IBM X-Force.

D’un côté, il y a vous… Vous avez, par exemple, un compte sur Slashdot (comme dans la démo ci-dessous) ou un autre site et vous êtes bien inscrit avec votre email [email protected]. De l’autre côté, il y a l’affreux script kiddy qui se rend sur Linkedin, site sur lequel vous n’êtes pas inscrit. Il se crée alors un compte avec VOTRE adresse email ([email protected]). Linkedin vous envoie un email de confirmation, mais même si l’email n’est pas vérifié, le hacker est bien authentifié sous Linkedin.

L’attaquant peut alors se rendre sur Slashdot, et demander à se logger avec le compte Linkedin qu’il a créé avec votre email. Et paf, il accède à votre compte sans avoir besoin de quoi que ce soit.

Le problème vient en réalité de Linkedin qui autorisé l’accès à un compte non vérifié, donc un usurpateur d’identité. Ce genre de système d’authentification devrait obligatoirement refuser les adresses email non vérifiées.

Blog_Social_Login_Illustration_Attack

Que faire à votre niveau pour contrer ce problème ? Et bien vous créer des comptes avec votre adresse email sur tous les sites qui servent à ce genre d’authentification… Ou alors utiliser un email différent à chaque fois que vous vous créez un compte sur un service du genre de Twitter, Facebook, Google ou Linkedin. (Vous savez, avec le petit « + » dans gmail ou carrement une nouvelle boite)

En tout cas, c’est bien moche comme technique 😉

Source

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Lien sponsorisé


Des idées pour vos menus (+ 10 € de réduction sur vos prochaines courses)

Jow est une application iOS et Android ainsi qu’un site web, qui propose des menus délicieux et rapide à réaliser. L’application se connecte à votre magasin préféré (Carrefour, Auchan, E. Leclerc…etc.) et génère la liste de vos courses tout en vous proposant des réductions.

Jow c’est top si :

  • Vous cherchez sans cesse des idées de menu
  • Vous voulez gagner du temps avec vos courses
  • Vous souhaitez manger plus équilibré
  • Vous voulez éviter le gâchis alimentaire
  • Vous aimez vous partager des photos de vos créations culinaires sur les réseaux

10 € de réduction sur vos prochaines courses

Et comme une bonne nouvelle n’arrive jamais seule, si vous créez votre compte sur Jow en passant par ce lien, vous profiterez de 10 € de réduction sur vos courses avec ce code promo :

2LE2QR

Quand on voit le coût de la vie, ça ne se refuse pas.

Bon ap !

Lien affilié

Les articles du moment