En voyant ce titre, vous vous demandez sans doute ce qui peut passer par la tête de quelqu'un qui prétend parler hacking et qui se retrouve à causer du célèbre et intrusif réseau social de Mark Zuckerberg.
Tout a commencé par la lecture de la fameuse faille de sécurité qui existait chez Hotmail, à savoir le contournement des règles de sécurité par le module complémentaire de Firefox Data Tamper. M'est alors venu l'envie de tester les règles de réinitialisation d'Hotmail et de Facebook.
Autant celles d'Hotmail peuvent être un chouïa compliquée, autant celles de Facebook semblent être venues d'un autre âge.
On commence par se connecter sur la page d'accueil de Facebook. On tape l'adresse email d'une victime potentielle et on clique sur "j'ai oublié mon mot de passe". On arrive alors sur une page nous proposant différentes options pour identifier notre compte.
Dans ce cas de figure, le plus simple reste de choisir l'email. On arrive alors sur une page nous demandant de confirmer une identité associée à l'adresse email indiquée.
On nous propose alors de réinitialiser notre mot de passe, soit par email, soit par téléphone. Mais on peut également choisir l'option "je ne possède plus aucune de ses informations."
C'est ce que l'on choisit et s'ouvre alors une page nous demandant une nouvelle adresse email.
On entre alors une adresse email, qui peut tout à fait être une adresse bidon, qui n'existe pas ou qui est jetable, puisqu'aucune vérification n'est faite. En effet, lorsque vous souhaitez vous inscrire sur certains sites, les adresses emails peuvent être vérifiées, soit manuellement par un webmaster ou un community manager - notamment dans le cas des adresses email jetables lisibles par tous - soit automatiquement en paramétrant correctement pour indiquer au site de rejeter certains types d'adresses emails, par exemple, les @hotmail.fr.
Arrivé à ce stade, Facebook nous explique quelle va être la procédure de récupération :
Le réseau social nous sort alors la liste complète des amis de la victime, parmi laquelle il faudra choisir trois personnes à qui seront envoyées un code de sécurité, code de sécurité que l'on récupère en téléphonant aux trois amis sélectionnés. Arrivé à ce stade, on s'arrête et on s'interroge. En effet, certaines études sur les réseaux sociaux ont pointé du doigt qu'un grand nombre de personnes ajoutaient à peu près n'importe qui sur leur page Facebook. On estime qu'environ 10% de la liste d'amis d'une personne moyenne ayant un profil sur Facebook est inconnu pour le détenteur du profil.
Mieux encore, dans le cas où la victime a caché sa liste d'amis, ce type d'intrusion permet de la récupérer intégralement. Quel intérêt ? Ce type de fichier, que ce soit Facebook, Twitter ou les adresses email se revendent très bien, puisqu'ils constituent des fichiers clientèles pour des sociétés peu regardantes ou tout simplement des cibles potentielles. En effet, dans la mesure où les utilisateurs ne cachent pas nécessairement leurs informations privées, il devient aisé de les récupérer et de collecter un certain nombre d'informations à l'insu des victimes.
Le système cache une autre perversité. Reprenons le postulat énoncé précédemment, à savoir qu'environ 10% des personnes d'une liste d'amis sont des inconnus. On créé trois faux profils, avec des photos attirantes et des informations bidons. On envoie des demandes d'ajouts d'amis à la victime. On attends quelques semaines et on lance la procédure de récupération de mots de passe en demandant à Facebook d'envoyer le mot de passe aux trois faux profils. Facebook envoie alors le mot de passe aux trois faux contacts sélectionnés par SMS. Simple et efficace pour l'attaquant, ne demandant que de la patience et quelques euros.
L'autre point curieux est que Facebook a tendance à répudier les systèmes de navigation anonymes comme Tor par exemple. Ainsi, si vous tentez de vos connecter au réseau social via le navigateur Tor, le site va se bloquer et vous demander à vérifier votre identité. Vous disposez alors de deux options : le faire par téléphone portable – permettant ainsi au passage au réseau social de récupérer vos coordonnées personnelles – ou par identification des photos de vos amis. On vous propose alors d’identifier 5 personnes figurant sur votre liste d’amis mais on vous donne 6 noms. A partir de là, facile de tromper le réseau social en faisant une très rapide recherche.
Enfin, comme le vous savez certainement, les informations que vous donnez à Facebook doivent être exactes et lui appartiennent. Donc si vous souhaitez être sur ce type de réseaux sociaux, pour une raison ou pour une autre, mettez-en le moins possible sur vous et suivant un conseil cher à un ami, n'acceptez sur votre liste d'amis que des gens avec qui vous êtes déjà allé boire un verre.
Ajouter un commentaire