Le chercheur en sécurité Egor Homakov de la société  Sakurity a livré le 5 Mars Reconnect, un outil qui permet de pirater un compte Facebook à partir de sites compatibles Facebook Login.


Reconnect exploite une faille Cross-Site Request Forgery (CSRF)  lors de la connexion, de la déconnexion, ou de la connexion via des applications tierces (Bit.ly, Vimeo, Stumbleupon…etc.) à Facebook.

La faille CSRF consiste à effectuer une action visant un site ou une page précise en utilisant l’utilisateur comme déclencheur, sans qu’il en ait conscience.

faille-csrf1

Après que Facebook refuse de corriger cette faille qu’il a découverte en janvier 2014, Egor a publié Reconnect, un outil permettant de pirater un compte Facebook à partir de sites compatibles Facebook Login.

« Facebook a refusé de résoudre ce problème il y a un an, et le temps est malheureusement venu de passer au niveau supérieur et de livrer cet outil à la communauté des hackers », a déclaré jeudi Egor Homakov sur son blog.

Comment fonctionne Reconnect ?

Reconnect génère des URL associant Facebook Login avec de faux comptes Facebook. Quand une victime clique sur ces URL, elle est déconnectée de son propre compte Facebook et connectée à de faux compte du réseau social mis en place par des pirates. Mais en arrière-plan, son compte lié aux sites Web utilisant le service Facebook Login reste connecté aux faux compte Facebook.

Pour vous la faire simple, en forgeant une URL malicieuse, un pirate peut lier son compte Facebook au vôtre, via le Facebook Login d’un site tiers et ensuite avoir le contrôle sur votre compte Facebook.

pirater-facebook

Comment se protéger ?

Afin de protéger vos comptes Facebook des pirates informatique, ne cliquez pas sur les liens Facebook suspects qui vous sont fournis par l’intermédiaire des réseaux sociaux, via SMS, messagerie instantanée, emails…etc. Et toujours être prudent tout en surfant sur le net.

Et si vous êtes développeur et que vous avez intégré du Facebook login sur vos sites, pensez à vérifier que cet exploit CSRF n’est pas possible chez vous.

1 Commentaire