Cracker n’importe quel compte web 2.0 les doigts dans le nez
Par Korben le 12 août 2007
Et voilà , pour conclure la Defcon 2007, Robert Graham, le hacker qui a démontré qu’avec un simple sniffer, il pouvait forger des cookies et entrer dans n’importe quel compte de site comme gmail, facebook, yahoo…etc… vient de mettre ses outils en ligne.
Sacré Robert
Le zip avec les outils et les explications est téléchargeable ici.
Attention à ne pas faire n’importe quoi évidement !
Pour vous protéger, il faut sécuriser la session avec SSL en utilisant https. Voici quelques exemples:
- Pour Gmail : Connectez vous à https://mail.google.com/mail/
- Pour Yahoo! : Cliquez sur “Sécuriser” sous la zone de mot de passe avant de vous logger
- Pour Hotmail : Cliquez sur “Utiliser une connexion sécurisée” sous la zone de logging
Source ici et ici
Je vous recommande aussi la lecture des sujets suivants
- Sécurisez votre accès Gmail
- Utilisez Gmail comme client mail par défaut dans Firefox
- Voir les emails non-lus de Gmail dans votre lecteur de flux RSS
- Un peu plus de sécurité sous Wordpress
- Customiser Google à l’eXtrème !
Pilou
Quelqu’un a testé ? après cette Defcon, les-dits services web 2.0 ont-ils réagi ?
Ca semble impressionnant en tout cas…
Pilou
http://piloblog.free.fr
Posté le 12 août 2007 à 22:08:01
lte
j’ai testé..ca marche impec’
il n’y a pas moyen de créer sa propre connexion securisé pour les autres sites ?
j’vais me renseigné sur le sujet mais si quelqu’un a des infos
Posté le 12 août 2007 à 23:06:00
bluebox
Gmail est par défaut sur SSL.
Posté le 13 août 2007 à 16:28:54
lte
quand on va sur gmail.com on est bien sur une page ’securisé’ (https) mais quand on se loge on arrive sur une page ‘non securisé’ (http) et ca empeche pas d’recupérer les cookies et d’se connecter a un compte gmail sans mot de passe (testé et approuvé)
Posté le 13 août 2007 à 17:37:11
lich
lte, a quoi ca sert alors de faire une partie securisée et une autre non securisée?
Posté le 13 août 2007 à 17:54:15
Ni
SSL sert à cryter les données échangées entre le serveur web et son utilisateur. C’est un protocole gourmand, google a je pense, choisi de protéger essentiellement l’envoi des logins/mot de passe à travers le réseau pour limiter la charge de ses serveurs, estimant que c’était l’endroit le plus critique.
Sinon, arretez moi si je me trompe mais ces outils servent uniquement à sniffer ce qui transite par son interface wifi.
L’interêt me parait très limité… Et ça n’a rien à voir avec la manière dont les sites 2.0 sont conçus.
Ca veut tout simplement dire que le protocole SSL doit être utilisé tant que les messages qui transitent entre un client et un serveur sont susceptibles d’être interceptés parce qu’ils sont transmis en diffusion: Hub / Wifi …
Sans spoofing (vol d’identité réseau: adresse mac / adresse ip) ces tips ne valent rien pour d’autres types de réseaux.
Posté le 13 août 2007 à 19:51:51
Ni
SSL sert à cryter les données échangées entre le serveur web et son utilisateur. Câ??est un protocole gourmand, google a je pense, choisi de protéger essentiellement lâ??envoi des logins/mot de passe à travers le réseau pour limiter la charge de ses serveurs, estimant que câ??était lâ??endroit le plus critique.
Sinon, arretez moi si je me trompe mais ces outils servent uniquement à sniffer ce qui transite par son interface wifi.
Lâ??interêt me parait très limitéâ?¦ Et ça nâ??a rien à voir avec la manière dont les sites 2.0 sont conçus.
Ca veut tout simplement dire que le protocole SSL doit être utilisé tant que les messages qui transitent entre un client et un serveur sont susceptibles dâ??être interceptés parce quâ??ils sont transmis en diffusion: Hub / Wifi â?¦
Sans spoofing (vol dâ??identité réseau: adresse mac / adresse ip) ces tips ne valent rien pour dâ??autres types de réseaux.
Edit: En plus d’être gourmand. De par sa conception, le SSL ne permet pas à un client de communiquer avec plusieurs serveurs. Si google ne fonctionne pas en full SSL c’est parce que ce protocole rend impossible l’utilisation de plusieurs serveurs (un pour le mail, un pour l’agenda, etc…)
Posté le 13 août 2007 à 19:59:49
lte
lich >> comme le dit Ni: ‘protéger essentiellement lâ??envoi des logins/mot de passe à travers le réseau’
mais l’arrivé sur la page non sécurisé donne accès au cookie..donc au compte.
Ni >>
‘Sinon, arretez moi si je me trompe mais ces outils servent uniquement à sniffer ce qui transite par son interface wifi.
Lâ??interêt me parait très limitéâ?¦ Et ça nâ??a rien à voir avec la manière dont les sites 2.0 sont conçus.’
pas seulement au wifi, tu peux choisir l’interface a sniffer..
et en effet ca a rien a voir avec le web 2.0 (pq ce titre de news ?)
Posté le 13 août 2007 à 20:20:24
Nas
Mais ça passe un quart de seconde en connexion non sécurisé, après ça revient directe en SSL et toute la session reste en SSL….
Puis de toute façon, si ce n’est qu’en Wifi, ca limite le machin !
Chez moi pas de Wifi (sauf du Wimo entre la freebox Télé et le Modem Freebox)
Pas assez rapide je trouve pour du transfert de fichiers !
Puis pas assez sécurisé…..
Posté le 17 août 2007 à 12:46:03
rimk
lte >> et en effet ca a rien a voir avec le web 2.0 (pq ce titre de news ?)
à mon avis c’est parce que avec le web2.0 il est normal d’avoir plusieurs connections à partir de la même machine, contrairement aux autres environnements une nouvelle connection autologuera l’ancienne.
Posté le 21 septembre 2007 à 01:39:49
Adamino
Salut, Svp je veux un programe pr cracker des pseduo yahoo ” sbcglobal, createur, allcaps…) si vs savyez ou j peut l trouver sa sra cool donc
Merci
Posté le 30 octobre 2007 à 00:37:42
latouffe
salut moi j’ai un prob. j’ai télécharger le fichier l’ai placé dans c: et ouvert ms-dos et je me suis mis dans le répertoire de sidejacking ensuite il me met C:\sidejacking > et la je comprend pas ce que je doi tapper
Posté le 2 décembre 2007 à 19:47:51
naruto
bjr, svp indiquer moi toute la demarche a suivre pour pouvoir utiliser le sidejacking car j’ai rien compri
Posté le 13 décembre 2007 à 10:45:08
clernikpol
est ce qu’il y a un hamster ferret pour macintosh ?
Posté le 19 décembre 2007 à 19:57:55
colibri
salut, quelqu’un pourrait-il me dire comment telecharger et utiliser brutal gift sur PC
merci
Posté le 27 avril 2008 à 11:11:31
HITSAL
SALUT JE ENTRER A SESTEM DE MICROSOFT
Posté le 30 avril 2008 à 19:33:01
moi
comment crakere un mot de passe msn
Posté le 1 mai 2008 à 20:00:05
edweis
bonjour
j’ai telecharger le logiciel mais je ne sais pas comment il marche kekun paut m’aider
j’utilise opera et internet explorer 8
Posté le 10 mai 2008 à 17:00:37
me
bonjour, jarrive pas a récupérer un mot de passe faut que je rentre dans mon compte hotmail pour le récuperer cmmt faire?
Posté le 14 mai 2008 à 11:54:59
edweis
svp comment ca marche
Posté le 14 mai 2008 à 19:04:37
Anathorn
Bon sang… Dès qu’il y a une news “approchant” le hacking, c’est toujours la même chose… Moi, je veux hacker un compte MSN, moi Yahoo, moi je comprend pas ce que c’est que “C:\”… >__<
Si vous n’y connaissez rien en informatique, laissez tomber. Hacker nécessite la plupart du temps des connaissances que 99% d’entre nous n’ont pas.
Posté le 18 mai 2008 à 14:43:33
GZAIRI
très satisfait
Posté le 18 mai 2008 à 17:09:42
darkcybs
et bien moi jai tester le truc sur une adresse hotmail mais rien a faire ca ne passe pas, je pense pourtant bien suivre la manip mais bon, kan je ve acceder au compte,” impossible dafficher la page des que ca passe en ssl, c a dire d kil y a envoi de compte et pass
pk ? si kelkun a une idée
Posté le 29 juin 2008 à 19:38:51
gege
j’aimerai cracker un compte yahoo mail.Que dois je faire?
Posté le 8 juillet 2008 à 19:41:18
pitchicmontana
Gege : ok alors suis moi bien.
Posté le 8 juillet 2008 à 20:47:18
jo
@pitchicmontana:
moi je te suis
Posté le 11 juillet 2008 à 09:31:23
Paul
a ceux qui ne l’on toujours pas compris ce soft et un sniffer vous ne pouvez pirater des comptes gmail ou yahoo ou hotmail si la personne que vous voulez volez n’est pas sur le même réseau physique que vous! Vous croyez vraiment n’importe quoi vous pensez qu’il existe des softs qui permettent comme ca et hop on met le login et hop on a le mot de passe…
Posté le 17 juillet 2008 à 22:48:16
Anis
Salut,moi j’ai telecharger le fichier mai g rien compris aider moi
Posté le 3 septembre 2008 à 13:07:39
eyombeun
s’il plait je voudrais savoir comment proteger son compte yahoo et si posible comment accerder de nouveau a son compte lorsque celui a ete piraté et dont on a modifier le mot de passe
Posté le 27 septembre 2008 à 21:23:15
thomas
Bonjour, je ne comprend pas grand chose au tutoriel qui se trouve dans le fichier zipé, est ce que quelqu’un pourrai m’aider???
merci d’avance
Posté le 6 octobre 2008 à 16:08:41