Piratage de Facebook via un smartphone

Posted On 11 Juil 2014

Tag: facebook, Koobface wom, Lecpetex, Mariposa, metaintell, OAuth2

Des ingénieurs en sécurité informatique de la société américaine MetaIntell ont alerté au début du mois de juillet le géant américain Facebook au sujet d’une faille qui pourrait être nuisible aux utilisateurs du portail communautaire.

Sont ciblés par cette vulnérabilité les « Facebookiens » qui passeraient par les applications mobiles proposés par des sociétés tierces. Une faille considérée comme critique, découverte dans l’outil de connexion de Facebook. Ce bug pourrait mettre en danger des millions d’utilisateurs en cas d’exploitation malveillante car le Social Login de Facebook, l’outil qui bug, est exploité dans plus de 70 applications gratuites sur iOS et une trentaine pour Android.

Le problème est malheureusement assez simple. Un pirate, via une application malveillante, ou un XSS tout bête, peut mettre la main sur le fameux jeton de connexion utilisé par le Social Login de Facebook. En gros, vous êtes sur un site vous proposant de jouer, de partager des informations. Pour vous « reconnaitre », le site vous propose d’utiliser votre compte Facebook. Vous cliquez sur le bouton dédié, le fameux Social Login, et vous voilà à surfer paisiblement dans les options du site en question. Sauf qu’il y a un bug de taille. Le fameux jeton qui permet de vous reconnaitre utilise le protocole OAuth2, mais il n’est pas chiffré. Bilan, ce sésame, en clair, pourrait être récupéré et utilisé par un pirate.

La solution proposée par Meta Intell ? Bannir toutes les connexions Facebook proposées par des applications tierces. Est concerné par ce probléme, Facebook SDK V3.15.0.

Pendant ce temps…

Facebook ferme les accès à un botnet venu de Gréce qui, à son apogée, a compromis 50.000 comptes et infecté 250.000 ordinateurs. Mission de ce code malveillant, baptisé Lecpetex, produire de la monnaie numérique, voler les mails et les coordonnées bancaires de ses victimes. Derriére ce Botnet, des grecs âgés de 31 et 27 ans. Ils auraient lancé 20 campagnes de pourriels entre Décembre 2013 et Juin 2014.

Mission, infiltrer un maximum de machine. Ils ont été arrêtés le 3 juillet. Au moment de leurs arrestations, les présumés pirates étaient en train de mettre en place un système pour blanchir leurs bitcoins. Parmi les victimes de cette attaque, un compte électronique appartenant au ministère grec de la Marine marchande.

Les deux présumés pirates s’étaient amusés à diffuser des messages à destination de Facebook, avec les insultes habituelles, après la fermeture, par Facebook, des comptes malveillants utilisés dans les vols. Facebook avait déjà agit de la sorte en coupant les « connexions » aux réseaux de zombies Mariposa et Koobface wom.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.