Ma Publicité Gratuite !

Exclusif : Vous vous souvenez de cette information ? Vos données Twitter et Facebook sont disponibles sur Google, même effacées. Les failles, elles, disparaissent sans rien dire. (Par Cybstups)

Vous ne le savez peut être pas encore mais c'est fait, vos informations Facebook et Twitter sont relayées par Google et Bing et affichées directement dans les recherches des internautes. Les fonctionnalités ne sont pas encore disponibles pour les français, par conséquent, vous devez utiliser Google USA ainsi que Bing USA. Il était déjà possible d'effectuer des recherches sur Twitter sans avoir de comptes: http://twitter.com/search?q=zataz. Maintenant, les internautes vont pouvoir partager votre vie directement dans leurs recherches: http://www.google.com/search?hl=en&tbo=s&tbs=mbl:1,mbl_sv:0&q=zataz et ausssi, en temps réel : http://www.google.com/search?hl=en&q=zataz&tbs=mbl:1&tbo=u&filter=0 Avec ou sans les mises à jour automatiques des résultats : javascript:google.rt.resume() ou javascript:google.rt.pause()

A noter que Google ne respecte pas toutes les règles de confidentialités proposées par Twitter et Facebook. La démonstration la plus simple vise à créer un message sur Twitter puis de l'effacer. Google va s'empresser de stocker en cache l'information pour une durée indéterminée. Les mêmes fonctions sont disponibles chez Bing http://www.bing.com/twitter?q=zataz

Accentuation de la protection ?

Facebook a décidé récemment d'accentuer la sécurité en permettant aux utilisateurs de personnaliser les "fuites d'informations" mais quasi immédiatement celui-ci a été vivement critiqué car le réglage par défaut est ultra permissif.

La conclusion est la suivante, mesurez dans toutes circonstances l'ensemble de vos paroles, il faut bien avoir en tête qu'elles resteront "gravées" sur Internet. Même le plus paranoïaque n'est pas à l'abri d'un incident bénin (ex: un tiers que vous connaissez qui saisi n'importe quoi sur votre ordinateur l'espace d'un instant) ; le détournement volontaire (l'accès physique à votre ordinateur, une connaissance, votre entourage) ; ou encore un tiers extérieur en utilisant des services d'individus plus compétents (Hacks As A Service : le cout d'un piratage sur un particulier n'étant pas excessif). Concernant l'affichage des messages, il faut bien comprendre une chose, c'est que les liens ne sont pas directs; Google se réserve le droit de les ré-écrire et par la même occasion de collecter des données ( Qui ? Quoi ? Où ? Quand ? Comment ? Pourquoi ? ) et ainsi alimenter d'immenses bases déjà bien fournies. Avec les fonctionnalités avancées de ces moteurs et l'utilisation des API, ... il est possible de construire des outils redoutables permettant de tracer, collecter, ... mais aussi d'atteindre directement les internautes et les mener sur des attaques sophistiquées: c'est une aubaine pour les cybercriminels professionnels !

Ce n'est que le début et comme il n'est pas possible de stopper l'évolution, il est grand temps de changer nos comportements.

Facebook corrige vite... mais sans rien dire
Mi-octobre 2009, le pseudo "599eme Man", membre du groupe Alternativ Testing, publiait le billet "Facebook URL String Evasion Doublé" sur une technique d'injection de code HTML par le biais d'une variable mal filtrée sur une application. La vulnérabilité jugée critique a été corrigée bien que partiellement comme le souligne certaines personnes par le biais du blog de Korben puis relancé par ZATAZ, il y a quelques jours, sur le sujet Redirection non sécurisée pour Facebook.

C'est en lisant le commentaire ironique d'Ar-S sur le sujet Le Père Noël est une ordure sur Facebook que j'ai réalisé la popularité de cette astuce qui, rappelons le, offre des possibilités aux hameçonneurs, bien que limitées. N'ayant jamais eu la nécessite d'exposer ma vie sur Facebook ou ailleurs, j'ai alors questionné des personnes (12) ayant un usage lambda de leur ordinateur pour savoir s'ils pensaient pouvoir se faire duper par ce genre de stratagème.

Outre les "cliqueurs" maladifs, les utilisateurs ne font pas confiance aux liens inconnus, même émanant de leurs amis (ce qui est faux, d'après des statistiques récentes sur le sujet), et encore moins ceux qui font appel à des applications tiers, mais ces internautes admettent qu'avec le flot d'informations à traiter dans une journée, le tout couplé à la fatigue, ils pourraient éventuellement ... tomber dans ce type de piège.

Et comme lobotomisés d'en conclure expressément que de toute façon, ça n'arrive qu'aux autres... A la question, pensez-vous que d'autres faiblesses de ce type sont possibles directement sur le site officiel, ils ont répondus: NON. Et pourquoi ? Et bien, vu le nombre d'utilisateurs, d'après eux, ça se saurait déjà !

Même avec l'habitude de ce genre de réactions, ça vous laisse toujours perplexe. Je décide d'aller faire un tour sur https://www.facebook.com pour observer les structures des pages. Peut être le fait d'avoir lu quelques minutes avant un article publié sur seclists, en full-disclosure, "XSS vulnerabilities in 8 millions flash files", allez savoir si c'est la vue du "flash.swf?url=" qui m'a fait "tilter" mais j'ai immédiatement focalisé sur la variable "uri" de la page "language_dialog.php".

Cette page permet à l'utilisateur de sélectionner l'interface du portail en fonction de sa localité. La variable "uri" est ré-utilisée dans la génération des liens mais indirectement car la valeur est contrôlée par une expression régulière, il suffisait de trouver la syntaxe exacte permettant de donner l'illusion à l'utilisateur de se connecter sur le Facebook de son pays. La faiblesse est exploitable de cette manière:
https://www.facebook.com/ajax/intl/language_dialog.php?uri=http%3A%2F%2F.facebcck.com.

Les écritures de nos liens piégés sont alors sous cette forme. <a onclick='intl_set_cookie_locale("ru_RU", "http://ru-ru.facebcck.com/", "LOGGED_OUT"); return false;' title="Russian" href="http://ru-ru.facebook.com/">Русский</a>. Le pirate va maintenant se créer un virtualhost qui va accepter toutes les requêtes d'host. *.facebcck.com 300 IN A 91.121.85.146 (wildcard DNS). Ainsi, ru-ru.facebcck.com, uk-ua.facebcck.com, etc... pointeront sur 91.121.85.146 (zataz.com). L'hameçonneur met en place ses copies parfaites du site en fonction des langues qui seront sélectionnées.

Aux tests, le lien proposé était en "https://www.facebook.com", autant dire que tout le monde (sauf un) est tombé dans le piège. Quelques heures après, Facebook a corrigé silencieusement le problème, avant même d'avoir le temps d'envoyer l'email de notification. Un grand bravo à l'équipe sécurité de Facebook (Greets Amok) qui visiblement scrute à la volée les anomalies des requêtes sur son portail.