28 commentaires

1. 

   Yuxx 

   
   

   c’est trop cool !! Merci, ça va vraiment m’aider dans mes partages !!

   Posté le 25 octobre 2009 à 13:33:37

2. 

   Yuxx 

   
   

   … :s :s :s, si on regarde le lien de l’appli en question proposé par HichamSoft, du coup, je crois que le préfix de l’url change, seul le suffix next & co reste !! :s :s :s !!

   Posté le 25 octobre 2009 à 13:38:12

3. 

   Sphax 

   
   

   Oui enfin, c’est risqué uniquement si on ne regarde pas l’url résultante.
   Mais c’est vrai que des gens vraiment mal intentionnés pourraient créer un nom de domaine ressemblant à Facebook (comme « focebook » ou encore « facebouk »)…

   Bien vu en tout cas.

   Posté le 25 octobre 2009 à 13:42:19

4. 

   JK 

   
   

   Moi Bitdefender m’empeche de voir ta superbe page de login Korben grace a sa fonction antipishing

   Posté le 25 octobre 2009 à 14:20:47

5. 

   sebbu 

   
   

   C’est moi ou ca change quand même l’url du site … ? donc le « phishing » serait gros comme le nez au milieu du visage

   et pour tinyurl… moi ca me met une page avant de rediriger :p

   Posté le 25 octobre 2009 à 15:10:25

6. 

   lemulot 

   
   

   Bien vu!
   Et belle exemple.
   @sebbu: Certain ne savent meme pas ce qu’est une barre d’addresse (ma grand mere)

   Posté le 25 octobre 2009 à 15:26:16

7. 

   caiser 

   
   

   Ou encore (et surtout) failbook

   Posté le 25 octobre 2009 à 15:26:36

8. 

   kekou 

   
   

   interessant , bon je me met sur mes pages de phishing :p

   Posté le 25 octobre 2009 à 15:31:19

9. 

   Xqntor 

   
   

   Faut dire que c’est tellement intéressant de phisher un facebook, comme sa t’a accès à des tonnes d’informations plus inutiles les unes que les autres \o/

   Posté le 25 octobre 2009 à 15:52:37

10. 

    Fardeen 

    
    

    Ca a toujours été comme ca depuis le début. Et ca va pas changer.

    Posté le 25 octobre 2009 à 16:04:50

11. 

    Rash 

    
    

    Génial !

    Je vais proposer mes services de « hacking de compte fb d’ex pas cool » contre du sexe.

    Posté le 25 octobre 2009 à 19:16:21

12. 

    Da Scritch 

    
    

    En même temps, Facebook, c’est un internet privé, l’intérêt est franchement relatif, et le respect de la vie privée, ils en ont strictement rien à branler.

    Vous vous rappelez que si vous construisez une API, vous pouvez savoir ce que le compte a acheté sur Amazon, les contacts de ses amis, ses centres d’intérêts, etc…. comment ça, vous saviez pas ?

    Posté le 25 octobre 2009 à 19:21:30

13. 

    hichamsoft 

    
    

    Se qui me fais le plus flipper c’est que la faile fonctionne toujours, question sécurité ils sont rapide chez FaceBook ou devrai je dire FakeBook

    Posté le 25 octobre 2009 à 19:27:20

14. Une faille Facebook | INFORMAGEEK 

    
    

    [...] à vous, amis Facebookiens et Facebookiennes . D’après HichamSoft sur Korben, il y aurai une faille incroyable dans certaines applications qui permettrai au développeur de [...]

    Posté le 25 octobre 2009 à 20:04:48

15. 

    coyotus 

    
    

    ça reste moins grave qu’une faille qui permettais de rentrer sur les compte sans avoir le mot de passe, qu’il ont mis 3 mois à corriger

    Posté le 25 octobre 2009 à 20:12:20

16. 

    Félix Aimé 

    
    

    Ce n’est pas FaceBook qui est vulnérable mais juste l’appli. Ce n’est un secret pour personne que les applications soient vulnérables à différentes attaques et que ces applications sont souvent développés par des manchots n’y connaissant rien à la sécurité. Il n’y a aucun scoop dans cette dernière « faille », surtout qu’elle ne permet qu’une redirection. Donc le titre « Faille dans FaceBook » ne représente pas du tout l’emplacement même de la faille.

    Le plus vulnérable dans les services web ce ne sont pas les services eux-mêmes mais les applications tierces se servant de leur API. Comme dirait un certain stratège, pourquoi attaquer les villes alors que les fermes servent à approvisionner l’ennemi ? (dans le cadre d’une guerre d’usure)

    C’est exactement le même principe avec les API, ce sont des gruyères et le juste milieux est difficile à trouver entre interaction réelle entre les comptes utilisateurs et la sécurité de ces derniers.

    Ça me fait marrer les gens qui mouillent pour une simple redirection. Alors qu’il y a bien plus grave en possibilités de nuisances utilisant l’API de FaceBook.

    Posté le 25 octobre 2009 à 20:43:31

17. 

    ILP 

    
    

    Ils affichent quand même un message pour les liens du style :
    http://www.facebook.com/l.php?u=%68%74%74%70%3A%2F%2F%77%77%77%2E%65%78%61%6D%70%6C%65%2E%63%6F%6D%2F
    

    Posté le 25 octobre 2009 à 21:12:16

18. 

    Nementon 

    
    

    @hichamsoft & all : La « faille » on peut dire à été en elle même corrigé, il y à 4jours encore, (Merci à tout ceux qui l’on dévoilé :fou:), l’on pouvez injecter du code html, dans la variable next, pour remplacer le contenu de l’apli Facebook visé et ainsi, faire un beau phishing, d’ailleurs, pour rendre à césar ce qui est ai à césar, faille a été découverte par theman599 il me semble =)

    Posté le 25 octobre 2009 à 21:41:34

19. 

    hichamsoft 

    
    

    @Félix Aimé: Je suis d’accord avec vous sur le point que se soit les apli tiers qui son vulnérable, mais qui dit apli vulnérable dit FaceBook vulnérable. FB doit au moin savoir si cette apli ou une autres est vulnérable est la désactivé et demander au développeur de corriger, de plus ne va pas croire que tout les gens son comme toi ou moi des mordues du phishing, du scam … Cette simple redirection peut faire de grand ravage si on sait s’en servir.

    Posté le 25 octobre 2009 à 23:16:27

20. 

    Félix Aimé 

    
    

    @hichamsoft: Je ne suis en aucun cas mordu de phishing ou de scam, j’ai d’autre chose à faire de ma vie que d’em**** celle des autres. Je suis passionné de sécurité, c’est tout.

    FaceBook met tout en Å“uvre pour la sécurité de ses utilisateurs. Cependant, au nombre d’applications mises en ligne chaque jour, il leur est impossible de toutes les vérifier. Seules des chartes de bonnes conduites peuvent êtres mises à disposition des dev’s. (Il doit surement en exister, j’ai pas fait le tour…)

    Après, qui râlera le premier si ils doivent les vérifier une par une ? Les devs ou les utilisateurs ?

    Posté le 25 octobre 2009 à 23:31:33

21. 

    hichamsoft 

    
    

    J’ai pas dit qu’il devrai vérifier chaque apli mais qu’au moin si une apli est reconnus vulnérable (et en plus publiquement) il faudrait la désactivé. Et pui prenons l’exemple de Firefox 3.6 qui met en places un système qui déactive les plugins vulnérables ou instables, c’est de sa que je parle.

    De plus en disant mordu du phishing… je voulais surtout dire savoir comment sa marche est non pas l’utilisation vilaine

    Posté le 26 octobre 2009 à 02:07:36

22. 

    Félix Aimé 

    
    

    @hichamsoft: Dès que FaceBook est alerté d’une vulnz dans une appli et bien la société contacte l’auteur de l’appli. Encore faut-il contacter FaceBook, car bon, vous râlez beaucoup mais qui d’entre nous l’a contacté pour cette seule « vulnérabilité » ?

    Deuxième point, FaceBook a aujourd’hui plus de 250 millions d’utilisateurs, et des dizaines de milliers d’applications (dont certaines oubliées et vulnérables), il ne peut pas y avoir assez d’employés pour s’occuper simplement de la sécurité des applications c’est donc pour cela qu’il y a un temps d’attente considérable entre le moment où FaceBook est contacté et le moment ou la vulnz est patchée (sans compter la dispo du dev’ de l’application).

    N’oublions pas que certaines personnes réalisent des application sous-couvert d’anonymat donc il est impossible de joindre les auteurs de ses dernières, elles sont donc (je pense) désactivées.

    Certes, FaceBook pourrait mettre en place pour ces applications un système de WAF. Cependant, il sera difficile de réaliser un WAF connaissant l’éventail de types données pouvant être envoyées à des applications. La mise en place de solution de la sorte pourrait aboutir à de nombreux risques de faux-positifs (et je ne parle pas des données qui sont envoyées directement à l’application, sans êtres filtrées par les serveurs de la firme).

    Il faudrait par ailleurs dans l’article faire un lien vers le PoC original http://www.packetstormsecurity.org/0910-exploits/facebook-redir.txt posté par un certain « 599eme Man » le 23 octobre dernier.

    Posté le 26 octobre 2009 à 08:23:48

23. 

    Anonym 

    
    

    FaceBook cay de la merdeuh… à la limite c’est bien fait pour les utilisateurs ^^

    Posté le 26 octobre 2009 à 10:48:53

24. 

    hichamsoft 

    
    

    @Félix Aimé: Pour la source « http://www.packetstormsecurity.org/0910-exploits/facebook-redir.txt » je l’ai déjà donnée à Korben et en dirais qu’on tombera jamais d’accord FaceBook est une société des plus connus mondialement et de ceux qui gagne plain d’argent alors ne va pas me dire qu’il non pas les moyens d’avoir plus de développeurs, il faut plu tau dire qu’il n’en veulent pas plus pour garder leur gains. Si non dit moi pourquoi ne crée t’il pas une communauté libre genre les communautés Linux ex… pour faire le sale boulot ?

    Explique : connaissant l’éventail de types données pouvant être envoyées à des applications.

    Posté le 26 octobre 2009 à 12:48:39

25. 

    Félix Aimé 

    
    

    @hichamsoft: S’ils ne créent pas de communautés libres de développeurs c’est tout simplement que c’est eux qui ramassent le fric grâce aux applications générées par quelques tordus. Franchement, je ne vois pas comment des gens défendant le libre pourraient travailler bénévolement pour des firmes qui vont tuer l’idéal que l’on se faisait du web. (faut vraiment aimer les paradoxes.)

    connaissant l’éventail de types données pouvant être envoyées à des applications => Les applications peuvent comme n’importe quelle application web avoir la possibilité de recevoir non pas que des requêtes full texte mais aussi des fichiers. A partir de là, on peut réfléchir à beaucoup de vecteurs d’attaques. (Si tu veux, on en parle en privé.)

    Voilà, on peut passer des données qui sont contenues dans des fichiers et après, l’application les traite, dans ce cas là, les WAF traditionnels ne servent strictement à rien car ils analysent les données envoyées. De plus, les WAF mal paramétrés peuvent êtres bypassables.

    Une récente étude à d’ailleurs démontrée que dans le top 10 des applications les plus utilisés sur Facebook, 6 étaient vulnérables et on juge à quelques 9700 applications vuln en ce moment. Voir là :

    http://www.mxlogic.com/securitynews/identity-theft/facebook-application-security-hole-exposes-millions-to-hacking-researcher-says160.cfm

    Il est impossible à Facebook de protéger ses membres si une partie du SI qui la compose (les applications) sont transférées sur des serveurs dont elle ne possède pas la main (souvent d’ailleurs, les applications sont sur des mutualisés, ce qui complique encore plus la chose) Il est alors facile pour n’importe quel pirate ayant tant soit peu d’expérience de pénétrer le serveur des de changer la configuration de l’application visée. (sans oublier de voler quelques données aux membres au passage.)

    Posté le 26 octobre 2009 à 13:55:47

26. 

    hichamsoft 

    
    

    @Félix Aimé: Intéressant l’article, et tout se que je peut dire c’est que les utilisateurs lambda de FaceBook sont servi sur un plateau au pirate et bien sure son qu’il ne le sache.

    Posté le 26 octobre 2009 à 15:44:35

27. 

    Actu-Geek 

    
    

    Paf le chien a été créé par des tordus Valenciennois…

    Posté le 26 octobre 2009 à 16:24:43

28. 

    easymomo 

    
    

    Toujours pas corrigée ! Ce genre de faille devrait être une (méga) priorité

    Posté le 27 octobre 2009 à 09:53:20