Actualité

 

Faille pour Facebook

Publié le 02-10-2008 à 00:43:11 dans le thème Réseau - Sécurité

Pays : International - Auteur : Thibaut L.


Pub : Découvrez les Labs ZATAZ


Note des lecteurs: 3.1/5

Exclusif - une faille de redirection peut permettre à un pirate de voler n'importe quel accès à Facebook.

Un internaute français a découvert une vulnérabilité sur le site communautaire international Facebook. La faille est toute bête mais d'une efficacité assez redoutable pour le pirate informatique qui souhaiterait l'exploiter.

A noter que l'espace social a été contacté par courrier électronique. L'équipe de Facebook a répondu très rapidement en indiquant à la rédaction de ZATAZ.COM qu'une enquête était en cours et que Facebook allait prendre les mesures appropriées "Thank you for bringing this to our attention. We will investigate this matter and take the appropriate action. Rachel - User Operations".

La faille
Un 0day efficace et assez simple d'utilisation. Tout débute avec une redirection exploitant un bug dans l'url officiel de Facebook. Nous n'expliquerons pas la méthode, du moins tant que cette porte d'accès ne sera pas corrigée. La faille se situe dans une redirection rendue possible via une adresse officielle de Facebook de type facebook.com/x/.

Il suffit à un escroc de rajouter l'adresse d'un espace piégé dans la continuité de cette adresse officielle [ex: facebook.com/x/adresseexterieurepiégée.fr].

L'espace piégé peut prendre plusieurs formes: fausse page de type hameçonnage (phishing), en passant par l'intercepteur de données (ip, cookies, ...) ou l'installation d'un code malicieux de type cheval de Troie. [Voir notre démonstration en vidéo]

Plusieurs tests ont été effectués avec des camarades de jeu de ZATAZ.COM dont un confrère de Vnunet.

Bref, vous l'aurez compris, le mot de passe et le login Facebook de l'internaute visé ne sont plus assurés dans la condition ou cette cible a cliqué sur un lien qui lui sera fourni par Email, IRC, ICQ, MSN.

Nous vous déconseillons de cliquer sur le moindre lien vous dirigeant vers Facebook. Préférez l'adresse officielle en la tapant directement dans votre navigateur.

 

Conseiller cet article RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Fuite de données d'auditeurs de France Info

29-04-2014 à 12:55 - 0 commentaire(s)

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

29-04-2014 à 12:10 - 0 commentaire(s)

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

29-04-2014 à 11:50 - 0 commentaire(s)

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

28-04-2014 à 14:19 - 0 commentaire(s)

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

66 pays visés par un code malveillant dédié aux SMS

28-04-2014 à 11:51 - 0 commentaire(s)

SMS Android OS FakeInst, un logiciel malveillant qui utilise vos SMS pour détourner de l'argent.

Anonymous lance le projet AirChat

28-04-2014 à 11:40 - 0 commentaire(s)

AirChat, un projet Anonymous qui souhaite permettre la diffusion de données numériques par la bande FM.

Google rembourse des utilisateurs d'Android

28-04-2014 à 11:16 - 0 commentaire(s)

Un virus informatique cachée dans une application Android ? Google s'excuse et rembourse les internautes piégés.

Piratage d'une Université pour fabriquer des bitcoins

28-04-2014 à 11:02 - 0 commentaire(s)

Des pirates informatiques ont compromis cinq serveurs de l'Université de l'Iowa pour installer une fabrique de bitcoins.

Sur le même thème : Réseau - Sécurité

Fuite de données d'auditeurs de France Info

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

Fuite de données possible via une faille Adobe Reader Android

Un PDF piégé pourrait compromettre vos données sauvegardées dans votre tablette ou smartphone sous Android.

Piratage de données bancaires chez LaCie

LaCie, fabricant de disques durs et systèmes de stockages numériques infiltré pendant 1 an... avant de s'en appercevoir.

La nouvelle secrétaire d'Etat au numérique a un site web aware

Axelle Lemaire, la toute fraîche nouvelle secrétaire d'Etat au numérique a du boulot sur la planche... en débutant par son site web.

Faille SSL, et si la NSA était au courant !

Yahoo!, Oracle, et des centaines de sites web faillibles à une vulnérabilité visant OpenSSL.

 


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA