Actualité

 

Rencontre avec Hacker Croll, le visiteur de Twitter

Publié le 11-06-2009 à 11:52:20 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal


Pub : Logiciels de sécurité et de protection Internet


Note des lecteurs: 3.6/5

Exclusif : Fin avril, un internaute du nom de Hacker Croll diffuse les preuves de sa visite dans les petits secrets du site communautaire Twitter. ZATAZ.COM a rencontré ce visiteur pas comme les autres.

Il nous aura fallu un petit mois pour rentrer concrètement en contact avec Hacker Croll. Cet internaute diffusait, fin avril, des captures écrans de son passage dans l'administration du site communautaire Twitter. Le portail confirmera l'information quelques jours plus tard.

Nous pensions que ce bidouilleur était Français, nous nous sommes retrouvés en contact avec un Allemand un français d'une vingtaine d'années. Étudiant, Hacker Croll est passionné par le social engineering, l'étude d'une cible afin d'en extraire un maximum d'informations.

Avec Twitter, Hacker Croll semble avoir tiré le jackpot. Révélation !

 

ZATAZ : Que veut dire Hacker Croll ?
Hacker Croll : C'est un clin d'œil. Quand j'étais jeune, dans mon pays, la grande mode était au jeu Pac-man. Hacker Croll fait référence au créateur d'un vieux jeu de Pac-man, sur pc, baptisé Greedy et édité par Eclipse Software. Des anciens démomakers.

Pourquoi "pirater" Twitter ?
En fait tout a débuté avec la lecture d'un article sur un ? gars de 18 ans qui avait piraté le mot de passe d'un administrateur de Twitter. Une attaque à coup de brute force.

Peux-tu nous expliquer ta méthode ?
Oh, elle est presque simple. Il fallait un peu de temps, de chance et de curiosité.

Première action, arriver à trouver une adresse électronique des employés ? J'ai eu juste à chercher en faisant un whois sur des noms de domaines appartenant à des employés. Seulement, au départ, galère. Certains Registars masquent les adresses pour lutter contre le spam et préserver un peu plus l'anonymat de leurs clients. Je me suis rendu dans la page About US de Twitter et j'ai consulté la fiche de chaque employé. Certains avaient indiqué l'url de leur site web. Il m'a suffit de faire, de nouveau, un Whois.

Que faisiez-vous avec ces emails ?
Certains des employés possédaient une adresse du style [email protected]. Je me suis dit que dans cette situation, impossible d'agir, il n'y a pas de processus de redéfinition de mot de passe pour ces adresses. D'autres employés avaient une adresse de type @gmail.com. Chez Gmail, autre problème, on ne peut accéder à la question secrète seulement après une inactivité de 24h sur le compte en question. Et comme la plupart des employés s'y connectent tous les jours, difficile de passer par là.

D'où l'attaque par Yahoo ?
Oui, il y avait d'autres employés qui avaient renseigné une adresse en @yahoo.com. C'était le cas de Jason Goldman par exemple. Je vais sur Yahoo. Je clique sur mot de passe oublié et je rentre son adresse. Je me heurte à une première difficulté.

 

Laquelle ?
Yahoo demande de vérifier l'identité avant de pouvoir accéder à la question secrète. Pour cela il demande de renseigner la date de naissance, le code postal, le pays tels qu'ils figurent sur le compte. Je n'avais jamais réussi à franchir cette étape, mais par chance, l'employé possédait un blog qui datait de 2002 dans lequel il racontait sa vie. Dans son profil figurait son âge et son signe astrologique. J'ai ainsi pu déterminer son année de naissance.

Vous n'aviez pas le jour ?
Non, mais en recherchant dans des articles, j'ai rapidement pu trouver ma réponse. J'ai trouvé la réponse dans une page datant d'octobre 2004. Heureusement d'ailleurs car Yahoo! bloque les comptes emails après 10 fausses tentatives. [au bout de 10 mauvaises tentatives de connexion, NDR]. Le code postal n'a pas été compliqué. Je l'ai trouvé à l'aide du whois. Pour sa question secrète, simple, c'était sa ville de naissance, Saint-Louis.

Ensuite ?
Ensuite, j'ai oublié une étape et c'est ça qui a tout fait foirer. Ni lui, ni Twitter n'auraient vu, ni su.

Cette erreur ?
Le gars avait indiqué plusieurs emails de secours pour récupérer son mot de passe. Chez Yahoo! dès que l'on modifie ton mot de passe, la réponse à la question secrète, ... le webmail envoie une notification par courriel. C'est comme ça qu'il a su ! Il était connecté sur son compte gmail à ce moment là.

Qu'avez-vous fais ensuite ?
Une fois sur son compte Yahoo, la première chose que j'ai réalisé a été de de virer ses emails de secours. J'ai également modifié sa question secrète. Ensuite j'ai commencé les recherches dans ses messages avec le mot clé password. Je suis tombé sur une multitude de mots de passe différents. Il avait en fait toujours le même mot de passe avec une petite variante, deux lettres. Les deux premières lettres du site utilisait. Google, ça donnait GOxxxx ; Twitter : TWxxx ; Gmail : gmxxx ; ...

Et vous avez trouvé le passe de l'administration de Twitter ?
Oui et non. Son identifiant htaccess ne finissait pas par @twitter.com mais uniquement ce qui précédait son adresse email.

Une fois dans l'administration, qu'avez-vous fait ?
J'ai fait quelques captures écrans et j'ai été rapidement découvert. Près de 15 minutes plus tard, le staff de Twitter a remarqué une activité anormale et ils ont désactivé l'administration.

On a lu et entendu [Émission C'est dans l'air - France 5 – 29/05/09] que vous aviez modifié des choses. Usurpé l'identité de Britney Spears, Obama ?
J'ai reçu la vidéo par Internet. Un ami me l'a traduit. Je ne sais pas qui est le vieux monsieur qui a osé dire cela mais il faudrait qu'il retourne d'où il vient, dans sa maison de retraite par exemple. Je n'ai JAMAIS rien modifié, usurpé, ... J'ai simplement pris des captures d'écran sans modifier quoi que ce soit. Oui j'aurai pu le faire, mais ce n'est pas mon éthique. J'aime les défis, point barre.

 

Twitter a tenté de vous contacter ?
Non. Il n'avait pas mon email. Ils n'ont pas tenté non plus via les forums ou je discute.

Quelles types d'informations ?
Je ne dirai rien, pour le moment. Juste que j'ai, par exemple, les restrictions alimentaires imposées à certains employés ; Le codes d'accès à l'office Twitter de chaque employé ; Le détail des communications téléphonique effectuées par Evan Williams [Le patron de Twtter, NDR], ... et je sais exactement ce que se sont dit les employés après mon passage. Par exemple, Jason Goldman a averti, le jour même, tout les employés.

Il leur a fait la recommandation de modifier leur mot de passe ainsi que l'email qui figurait dans leur compte. Le nouveau mot de passe respecte dorénavant certaines exigences. Pour cela, un script Perl a été mis en place. Ce script s'assure que le mot de passe remplit bien certains critères. Mot de passe de taille suffisante ; qu'il ne figure pas dans un dictionnaire ; qu'il n'y a pas de caractères répétitifs ; etc.

J'ai même eu accès, bien plus tard, à la lettre interne diffusée par Biz Stone, l'un des co-fondateur de Twitter. Un message envoyé aux employés dans laquelle il expliquait l'intrusion, que le FBI me recherchait, ...

Ton action, uniquement pour le défit ?
Oui et uniquement pour ça. Le hackito ergo sum [Je hack donc je suis, NDR] comme toi même tu l'appelles depuis des années. Je hack donc je suis. Mais pas question de nuire, détruire. Je pourrai revendre facilement ce que j'ai trouvé, mais ça aussi, hors de question.

La rédaction a tenté de contacter le service presse de Twitter aux Etats-Unis. Nous n'avons jamais reçu la moindre réponse.

 

Conseiller cet article RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Fuite de données d'auditeurs de France Info

29-04-2014 à 12:55 - 0 commentaire(s)

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

29-04-2014 à 12:10 - 0 commentaire(s)

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

29-04-2014 à 11:50 - 0 commentaire(s)

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

28-04-2014 à 14:19 - 0 commentaire(s)

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

66 pays visés par un code malveillant dédié aux SMS

28-04-2014 à 11:51 - 0 commentaire(s)

SMS Android OS FakeInst, un logiciel malveillant qui utilise vos SMS pour détourner de l'argent.

Anonymous lance le projet AirChat

28-04-2014 à 11:40 - 0 commentaire(s)

AirChat, un projet Anonymous qui souhaite permettre la diffusion de données numériques par la bande FM.

Google rembourse des utilisateurs d'Android

28-04-2014 à 11:16 - 0 commentaire(s)

Un virus informatique cachée dans une application Android ? Google s'excuse et rembourse les internautes piégés.

Piratage d'une Université pour fabriquer des bitcoins

28-04-2014 à 11:02 - 0 commentaire(s)

Des pirates informatiques ont compromis cinq serveurs de l'Université de l'Iowa pour installer une fabrique de bitcoins.

Sur le même thème : Réseau - Sécurité

Fuite de données d'auditeurs de France Info

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

Fuite de données possible via une faille Adobe Reader Android

Un PDF piégé pourrait compromettre vos données sauvegardées dans votre tablette ou smartphone sous Android.

Piratage de données bancaires chez LaCie

LaCie, fabricant de disques durs et systèmes de stockages numériques infiltré pendant 1 an... avant de s'en appercevoir.

La nouvelle secrétaire d'Etat au numérique a un site web aware

Axelle Lemaire, la toute fraîche nouvelle secrétaire d'Etat au numérique a du boulot sur la planche... en débutant par son site web.

Faille SSL, et si la NSA était au courant !

Yahoo!, Oracle, et des centaines de sites web faillibles à une vulnérabilité visant OpenSSL.

 


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA