lundi 10 août 2020
Promotion Meilleur VPN 2020
Accueil Réseau & Sécurité Piratage de compte Facebook : le comment et pourquoi

Piratage de compte Facebook : le comment et pourquoi

L’usurpation d’identité sur Facebook est courante, que ce soient les comptes de vos proches ou ceux de personnalités. Comment est-ce possible ? A quoi servent les comptes piratés ?

Un piratage d’un compte Facebook, ce n’est pas lorsque votre petit frère ou neveu profite de votre session restée active pour écrire des âneries sur un mur. Il s’agit ici d’usurpation de compte à des fins malveillantes, principalement pour propager via Facebook, des vers et autres programmes malveillants. Par exemple, un utilisateur de ce réseau social vient de se faire condamner à 360 millions de dollars pour avoir volé 116 000 identifiants grâce auxquels il a envoyé plus de 7,5 millions de messages de spam, dont certains menant à des sites piégés.

Comme le montre cet exemple, si les pirates usurpent des comptes Facebook aujourd’hui ; c’est principalement un moyen de se constituer un réseau de botnets. L’usurpateur écrit un message sur le mur de compte piraté et sur celui de ses amis, contenant un code malveillant, qui va essayer d’infecter qui le consulte. Le visiteur infecté va de la même manière infecter ses proches. De PC en PC, le pirate va se constituer son réseau de PC zombis, et s’il en a besoin, allègrement voler des quantités d’informations privées.

Plus rarement, ces attaques ciblent des pages de personnalités et ont un but de dénigrement ou politique. Deux autres exemples récents : la page de Nicolas Sarkozy annonçant qu’il ne se présenterait pas en 2012, ou celle de Mark Zuckerberg, PDG milliardaire de Facebook, qu’il transformerait sa société en institution de micro-crédits.


Comment se fait-on pirater un compte Facebook ?

Nous avons posé la question à Renaud Bidou, directeur technique de Deny All, spécialiste de la sécurité des applications Web.

Renaud Bidou : En premier lieu, le pirate va tenter de passer par les mots de passe les plus classiques : azerty, 123456, password, date de naissance… Si cela ne marche pas, il peut tenter d’utiliser une faille logique, s’il en trouve une. Par exemple, en connaissant la réponse à la “question secrète” de la victime, et si le service n’impose pas de passer par une adresse mail connue, le pirate peut changer les identifiants. C’est de cette manière que le compte Tweeter de Barrack Obama a été usurpé il y a quelques mois.

Si cela ne marche pas, le pirate passe à ce qu’on appelle la force brute. C’est un programme qui va tester comme mot de passe toute une liste de mots, carrément un  dictionnaire complet (on en trouve langue par langue selon l’origine de la victime) et il va les essayer un par un. Jusqu’à trouver le bon.

L’autre possibilité reste la ruse, ce que l’on appelle techniquement l’ingénierie sociale. Par exemple le pirate va envoyer un faux mail et réclamer le mot de passe pour une fausse raison. Autrement dit c’est du phishing.

Revenons à la force brute c’est réellement possible d’essayer les mots de passe un à un ? Cela ne prend-il pas un temps fou ?

On peut lancer plusieurs session du logiciel en parallèle, pour envoyer quelques milliers de requêtes en très peu de temps. Une machine de monsieur tout le monde permet d’envoyer jusque 2000 requêtes à la seconde, quelques heures suffisent pour faire le tour du dictionnaire. Evidemment, pour les variations, avec un chiffre à la fin ou au début, il faut quelques heures de plus. S’il y a besoin de passer par la force brute toutes les combinaisons possibles avec chiffres, lettres et caractères spéciaux, là il faut tout un réseau de botnets pour trouver ce mot de passe.

Et  Facebook ne bloque pas ces robots ?

Actuellement, non. Google par exemple le fait très simplement avec les captcha (ndlr : il faut reproduire des lettres et chiffres plus ou moins tordus qui apparaissent sur une image) qu’il faut entrer tous les 3 mots de passe ratés. Ce qui bloque le passage force brute.

Mais il faut bien se rendre compte que si une même adresse IP envoie 2000 requêtes par seconde, on s’en rend vite compte sur le serveur ! Et à moins de savoir bien se masquer, on est vite identifié.


Source : MalwareCity
UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.