L'expert en cybersécurité Samip Aryal, figure de proue de la liste des « chasseurs de primes » de Facebook, vient d'annoncer une faille de sécurité sur le réseau social, permettant aux pirates d'exploiter les comptes de leurs victimes. Le problème a été découvert et corrigé le 2 février, mais il a fallu un mois pour qu'il soit largement diffusé (en raison des réglementations de sécurité).
Selon Aryal, la vulnérabilité est liée au processus de réinitialisation du mot de passe Facebook via une fonctionnalité optionnelle qui envoie un code d'authentification à six chiffres à un autre appareil sur lequel l'utilisateur s'est connecté ou inscrit. Ce code permet d'authentifier l'utilisateur et de terminer le processus de réinitialisation du mot de passe sur un nouvel appareil (sur lequel il n'a jamais été connecté auparavant).
Lors de l'analyse de la requête, il a découvert que Facebook envoie un code d'authentification fixe (qui ne change pas la séquence de chiffres), valable 2 heures, et ne dispose d'aucune mesure de sécurité pour empêcher les attaques par force brute, un type d'intrusion non autorisée qui utilise la méthode consistant à essayer toutes les chaînes de mots de passe possibles pour trouver la séquence de caractères correcte.
Compte Facebook piraté simplement en scannant le code de connexion
Cela signifie que, dans les deux heures suivant l'envoi du code, l'attaquant peut saisir un code d'activation erroné à maintes reprises sans que le système Facebook ne prenne de mesures préventives. En règle générale, si le code ou le mot de passe erroné est saisi plus de fois que prévu, un système de sécurité suspend temporairement la connexion au compte suspect.
2 heures ne représentent peut-être pas beaucoup pour les gens normaux, mais pour les pirates utilisant des outils de support, c'est tout à fait possible.
Un attaquant n'a besoin de connaître que le nom de connexion du compte cible pour pouvoir envoyer une demande de code de vérification, puis appliquer la méthode de force brute en continu pendant 2 heures, jusqu'à ce que le résultat soit qu'il est facile de réinitialiser un nouveau mot de passe, de prendre le contrôle et de « expulser » les sessions d'accès du véritable propriétaire avant qu'il ne puisse faire quoi que ce soit.
M. Vu Ngoc Son, directeur technique de NCS, a déclaré que ce type d'attaque est hors de portée de l'utilisateur et qu'il s'agit d'une attaque « zéro clic ». Ce type d'attaque permet aux pirates de voler le compte de la victime sans aucune intervention de sa part.
« Lorsque cette vulnérabilité est exploitée, la victime reçoit une notification de Facebook. Par conséquent, si vous recevez soudainement une notification de Facebook concernant la récupération de votre mot de passe, il est fort probable que votre compte soit attaqué et pris en charge », a expliqué M. Son. L'expert a ajouté qu'avec des vulnérabilités comme celle mentionnée ci-dessus, les utilisateurs ne peuvent qu'attendre que le fournisseur corrige l'erreur.
Facebook est un réseau social populaire dans de nombreux pays , dont le Vietnam, et ses utilisateurs publient et stockent de nombreuses données personnelles lors de leur utilisation. Par conséquent, les pirates informatiques cherchent souvent à attaquer et à prendre le contrôle des comptes sur la plateforme pour commettre des fraudes.
Parmi ces techniques, la plus répandue consiste à se faire passer pour la victime et à contacter des proches de sa liste d'amis pour leur demander des virements d'argent afin d'escroquer. Cette méthode, qui s'appuie sur la technologie Deepfake pour simuler des appels vidéo , a piégé de nombreuses personnes. Afin d'instaurer la confiance, les escrocs achètent et vendent également des comptes bancaires au même nom que le propriétaire du compte Facebook pour mener à bien leur escroquerie.
Une autre forme de piratage consiste à pirater le compte puis à l'utiliser pour envoyer des liens ou des fichiers contenant du code malveillant, se propageant ainsi sur les réseaux sociaux. Ces codes malveillants ont pour mission d'attaquer et de voler des informations personnelles (numéros de compte bancaire, photos, contacts, messages et autres données stockées dans la mémoire de l'appareil) après avoir été activés sur l'appareil cible (celui utilisé par la victime).
Lien source
Comment (0)