France

Comment pirate-t-on la page Facebook de Nicolas Sarkozy?

Tour d'horizon des différentes techniques que les pirates utilisent afin de s'introduire dans votre compte Facebook.

Temps de lecture: 4 minutes

A deux reprises, la page Facebook de Nicolas Sarkozy a été brièvement piratée en ce mois de janvier 2011. Le 23 au soir, durant quelques minutes, comme l’a entre autres repéré le journaliste de Slate Vincent Glad, le compte du Président affichait un statut indiquant qu'il ne briguerait pas un second mandat, «compte tenu des circonstances exceptionnelles que connaît notre pays». Ce mardi dans la matinée, cette même attaque s'est reproduite. Selon nos informations, l'Elysée et Facebook cherchent actuellement à  déterminer l'origine des deux attaques réalisées sur la page de Nicolas Sarkozy. La page de Mark Zuckerberg lui-même a été piratée le 25 janvier. Et le lendemain, Facebook annonçait de nouvelles mesures visant à renforcer sa sécurité.

Comment peut-on pirater une page Facebook, a fortiori celle du président de la République ou du PDG de Facebook?

Contrairement à un profil d'utilisateur classique, une page fan Facebook permet d'être administrée par plusieurs utilisateurs. Elle peut donc s'avérer plus vulnérable qu'un profil d’utilisateur classique, le nombre d’administrateurs constituant autant de portes d’entrées potentiellement piratables. Pour avoir accès aux droits d’administration d’une page Facebook, il suffit ainsi de pirater l’un des profils des administrateurs (pour Nicolas Sarkozy, les pirates ont pu s'attaquer à tous les conseillers web de l'Élysée par exemple, en supposant qu'ils sont administrateurs de la page).

Pour cela, plusieurs méthodes existent.

Profiter des failles de votre boîte mail

La technique la plus couramment utilisée consiste à prendre le contrôle de votre boîte mail pour pouvoir ensuite accéder à votre profil Facebook. En effet, que ce soit Yahoo ou Hotmail, plusieurs systèmes de messagerie proposent de récupérer votre mot de passe en répondant à une simple question du type «Quel était le métier de votre mère?» ou «Quel est le nom de votre chien?». De bonnes recherches sur la personne suffisent souvent à franchir ce premier palier. Une fois qu’il a le contrôle sur votre boîte, le pirate réclame un renvoi de mot de passe à Facebook afin d’accéder à votre profil.

Cette technique a fait ses preuves puisqu’elle avait déjà eu raison de la boîte mail de l’ancienne candidate à la vice-présidence des États-Unis, Sarah Palin et c’est également grâce au même procédé que le hacker français François Couteix dit «Hacker Croll» était parvenu à pirater le compte Twitter de Barack Obama.

Selon une enquête menée en avril 2010 par Owni, plusieurs institutions gouvernementales comme la Direction du renseignement militaire (DRM) ou la Direction de la Protection et de la Sécurité de la Défense (DPSD) délèguent la gestion de leur boîte mail à ce type de sociétés privées (Yahoo, Hotmail, Gmail). «On dénombre ainsi près de 55 000 mentions d’adresses utilisant des webmails piratables sur l’ensemble des sites en .gouv.fr», explique l'article. 

Cracker votre mot de passe

Pour pouvoir «cracker» le mot de passe de votre compte, les pirates recherchent à collecter le maximum d’informations sur vous. Si les techniques d’hameçonnage classique (mails, sites peu sécurisés) n'ont rien donné, le pirate peut vous ajouter en ami sur Facebook afin de récupérer toutes vos données (en utilisant un compte «fake» par exemple comme l’illustre cette vidéo).

Une fois ces informations acquises, des petits scripts facilement téléchargeables sur le Net peuvent  servir «d’aspirateur à mots». Ce petit logiciel va créer un fichier texte, recensant tous les mots présents sur votre page. Le pirate va alors lancer une «attaque par dictionnaire», en espérant que le mot de passe utilisé soit contenu dans le fichier texte précédemment créé. Cette technique incrémentale s’avère souvent redoutable car les mots de passe choisis par les utilisateurs sont souvent banals. En utilisant des serveurs proxys, les pirates peuvent répéter leurs attaques autant de fois que nécessaires. Si le mot de passe n’est pas contenu dans les mots recensés par le script, l’attaque échoue.

Le piratage de votre session: le hijacking

Bon nombre de sites sécurisés, dont Facebook, vous propose de «garder votre session active» afin d'éviter de devoir retaper votre login et votre mot de passe à chaque nouvelle connexion. Un pirate expérimenté peut parvenir à voler le cookie permettant cette authentification et ainsi se faire passer pour vous. Reconnu par Facebook sur tous les autres sites pré-enregistrés par sa victime, il a ainsi accès à toutes ses données.

Exploiter les failles internes de Facebook

Il existe des méthodes plus techniques comme celles consistant à profiter des failles de sécurité XSS de Facebook. En injectant des données arbitraires dans le site, cela modifie le comportement de la page ou son contenu.

Dans le cas de la page de Nicolas Sarkozy, Bernard Pratz, spécialiste des réseaux sociaux distribués, considère que l'incident proviendrait probablement de ce type d'attaques en raison du message affiché sur son profil. L'absence de tout caractère comportant un accent («j'ai dcid en mon me...») est un symptôme typique de ce genre de failles.

Pour réussir ce type d'attaques, le hacker va chercher –via des techniques d'hameçonnage– à vous faire cliquer sur des sites piratés ou bien à profiter de l’accès que vous autorisez à vos données (lors de l’ajout d’une application par exemple –elles sont censées être vérifiées par Facebook mais ne sont pas toujours très fiables.)

Comme tout réseau social, Facebook est ainsi pris dans l'équilibre ténu entre la sécurité et le confort d'utilisation. Plus la sécurité est renforcée, plus le système se révèle complexe, lourd et peu évolutif. Facebook comporte donc un nombre important de failles qu'un hacker expérimenté peut facilement exploiter.

A propos du piratage, il faut néanmoins toujours avoir en tête ce vieil adage américain: «Problem Exists Between Keyboard And Chair.» C’est bien souvent l’utilisateur lui-même qui, par naïveté ou manque de vigilance, prête le flanc à des attaques. L'ingénierie sociale consistant avant tout à exploiter la crédulité des individus afin de recueillir des informations.

David Doucet

L'explication remercie Jean-Marc Manach, journaliste à Owni.fr et blogueur sur le Monde.fr, Olivier Laurelli, blogueur sur Bluetouff et  Bernard Pratz, ingénieur R/D chez Bearstech et spécialiste des réseaux sociaux distribués.

Actualisé le 27 janvier à la suite de l'annonce de renforcement des mesures de sécurité de Facebook
.

Vous vous posez une question sur l'actualité? Envoyez un mail à explication @ slate.fr.

cover
-
/
cover

Liste de lecture