Piratage de compte Facebook : le comment et pourquoi

Piratage identite Facebook L'usurpation d'identité sur Facebook est courante, que ce soient les comptes de vos proches ou ceux de personnalités. Comment est-ce possible ? A quoi servent les comptes piratés ?

Un piratage d'un compte Facebook, ce n'est pas lorsque votre petit frère ou neveu profite de votre session restée active pour écrire des âneries sur un mur. Il s'agit ici d'usurpation de compte à des fins malveillantes, principalement pour propager via Facebook, des vers et autres programmes malveillants. Par exemple, un utilisateur de ce réseau social vient de se faire condamner à 360 millions de dollars pour avoir volé 116 000 identifiants grâce auxquels il a envoyé plus de 7,5 millions de messages de spam, dont certains menant à des sites piégés.  

Comme le montre cet exemple, si les pirates usurpent des comptes Facebook aujourd'hui ; c'est principalement un moyen de se constituer un réseau de botnets. L'usurpateur écrit un message sur le mur de compte piraté et sur celui de ses amis, contenant un code malveillant, qui va essayer d'infecter qui le consulte. Le visiteur infecté va de la même manière infecter ses proches. De PC en PC, le pirate va se constituer son réseau de PC zombis, et s'il en a besoin, allègrement voler des quantités d'informations privées.  

Plus rarement, ces attaques ciblent des pages de personnalités et ont un but de dénigrement ou politique. Deux autres exemples récents : la page de Nicolas Sarkozy annonçant qu'il ne se présenterait pas en 2012, ou celle de Mark Zuckerberg, PDG milliardaire de Facebook, qu'il transformerait sa société en institution de micro-crédits.


L'autre risque du piratage de sa page Facebook est quelle soit utilisée pour organiser des violences, comme à Londres pendant l'été 2011. Vidéo :

renaud bidou 1
Renaud Bidou © Deny All
Comment se fait-on pirater un compte Facebook ?


Nous avons posé la question à Renaud Bidou, directeur technique de Deny All, spécialiste de la sécurité des applications Web.

Renaud Bidou : En premier lieu, le pirate va tenter de passer par les mots de passe les plus classiques : azerty, 123456, password, date de naissance... Si cela ne marche pas, il peut tenter d'utiliser une faille logique, s'il en trouve une. Par exemple, en connaissant la réponse à la "question secrète" de la victime, et si le service n'impose pas de passer par une adresse mail connue, le pirate peut changer les identifiants. C'est de cette manière que le compte Tweeter de Barrack Obama a été usurpé il y a quelques mois.

Si cela ne marche pas, le pirate passe à ce qu'on appelle la force brute. C'est un programme qui va tester comme mot de passe toute une liste de mots, carrément un dictionnaire complet (on en trouve langue par langue selon l'origine de la victime) et il va les essayer un par un. Jusqu'à trouver le bon.

L'autre possibilité reste la ruse, ce que l'on appelle techniquement l'ingénierie sociale. Par exemple le pirate va envoyer un faux mail et réclamer le mot de passe pour une fausse raison. Autrement dit c'est du phishing.

La rédaction : revenons à la force brute c'est réellement possible d'essayer les mots de passe un à un ? Cela ne prend-il pas un temps fou ?

On peut lancer plusieurs session du logiciel en parallèle, pour envoyer quelques milliers de requêtes en très peu de temps. Une machine de monsieur tout le monde permet d'envoyer jusque 2000 requêtes à la seconde, quelques heures suffisent pour faire le tour du dictionnaire. Evidemment, pour les variations, avec un chiffre à la fin ou au début, il faut quelques heures de plus. S'il y a besoin de passer par la force brute toutes les combinaisons possibles avec chiffres, lettres et caractères spéciaux, là il faut tout un réseau de botnets pour trouver ce mot de passe.

Et Facebook ne bloque pas ces robots ?

Actuellement, non. Google par exemple le fait très simplement avec les captcha (ndlr : il faut reproduire des lettres et chiffres plus ou moins tordus qui apparaissent sur une image) qu'il faut entrer tous les 3 mots de passe ratés. Ce qui bloque le passage force brute.

Mais il faut bien se rendre compte que si une même adresse IP envoie 2000 requêtes par seconde, on s'en rend vite compte sur le serveur ! Et à moins de savoir bien se masquer, on est vite identifié.

 

Pour en savoir plus : Mieux se servir de Facebook

Autour du même sujet

Dernière minute