BlogBang

Pirater un compte Gmail dans les règles de l’art

Par Korben

gmailthumb Pirater un compte Gmail dans les règles de lart

Petite démonstration de piratage de compte Gmail avec l’outil Surf Jack !



Impressionnant ! Une seule solution, activer l’option HTTPS permanente dans Gmail

toto Pirater un compte Gmail dans les règles de lart

Sinon, pour info, si vous êtes webmaster et que vous utilisez Joomla, pensez à le mettre à jour car il se pirate en quelques secondes. (Voir ici pour plus d’infos)

Regarder la vidéo:

Je vous recommande aussi la lecture des sujets suivants


Faites un lien vers cette news sur votre site



54 commentaires

  1. Damien Reply to this comment


    Hum concernant Joomla, leur patch ne sert à rien et il est déjà contourné (juste un strlen(), il se sont un peu trop pressé), faudra attendre encore un peu pour que la faille soit vraiment corrigée.

    Posté le 13 août 2008 à 17:16:23

  2. Korben Reply to this comment


    @Damien: Merci pour ces précisions. Personne n’a un réel correctif à proposer ? C’est dingue quand même !

    Posté le 13 août 2008 à 17:19:44

  3. Benjamin Reply to this comment


    Intéressant.
    Par contre deux choses que je ne comprend pas :
    - Pourquoi l’option « Always use https»  n’est pas activé par défaut du coup.
    - Dans le paper il y a marqué « HTTPS will not save you»  (HTTPS ne vous sauvera pas). Donc est ce que l’option « Always use https»  est vraiment sécuritaire?

    Posté le 13 août 2008 à 17:22:21

  4. Roger Reply to this comment


    Bon moi ce qui m’impressionne, c’est le logiciel qu’il utilise pour faire tourner Linux et Windows en même temps… Enfin c’est personnel :)

    Posté le 13 août 2008 à 17:27:49

  5. Neoseifer Reply to this comment


    Y’a quand même pas mal de conditions à réunir :
    - Pas de HTTPS
    - Pouvoir intercepter les trames ! Et ça, c’est déjà pas gagné…

    Et puis, si on peut intercepter les trames, on peut tout simplement voir les pages que la victime voit. Donc à la rigueur, on a à peine besoin du mot de passe gmail ;-)

    Posté le 13 août 2008 à 17:36:15

  6. SaM Reply to this comment


    @ Roger : C’est tout simplement VMWare.

    Sinon pour le type d’attaque qu’il utilise, l’attaquant à tout de même besoin de beaucoup d’outils, que l’on ne met pas en place sur n’importe quel réseau. Mais celà n’empèche pas d’utiliser le https pour GMail. Vaut mieux 2 protections qu’une seule.

    Posté le 13 août 2008 à 17:38:06

  7. Pecky Reply to this comment


    Pour l’interception de trames c’est etherreal/wireshark qui fait son taff… c’est hélas relativement trivial.
    Le plus gros du travail est en fait l’intrusion en elle-même sur le réseau où ce situe la machine victime.
    Après, combien de gens utilisent gmail via l’url http://gmail.com plutôt que https://gmail.com ??? je pense que le chiffre est impressionnant.

    Enfin pour ce qui est des outils, il y a quasiment déjà tout dans la distro BackTrack… il suffit de savoir s’en servir ^^

    Posté le 13 août 2008 à 17:43:30

  8. Neoseifer Reply to this comment


    @Pecky: Justement, pour intercepter les trames, il faut être sur le même réseau. Et encore, les switchs ne distribuent pas les trames des autres machines sur la tienne.
    Reste que le hack DNS (balaise) ou l’interception WiFi(plus simple déjà).

    Posté le 13 août 2008 à 17:48:21

  9. Pecky Reply to this comment


    @Neoseifer : c’est effectivement ce que j’ai dit, le plus gros du taff est l’intrusion.
    La démo s’applique surtout sur du hack de particulier avec un wifi soit mal protégé (wep) ou pas protégé du tout.
    Même avec switch, il existe des outils (ethercap pour le citer) qui permettent de « facilement»  se placer en man on the middle entre la machine victime et le switch.

    Posté le 13 août 2008 à 17:54:14

  10. mad Reply to this comment


    et l’ arp poisoning

    Posté le 13 août 2008 à 18:02:48

  11. benjy-blog Reply to this comment


    @ korben : Google est en train de travialler sur un correctif mais je doute!!

    @ Neoseifer : FAUX, que ca soit HTTPS ou HTTP, l’inteception des trames peut se faire sur le reseau en etant connecté (sniff + arp poisoning) ou SANS ETRE CONNECTE AU RESEAU (Sniff en mode monitor)

    Donc sécurité ou pas, les moyens pour détourner sont et seront là!

    J’ai d’ailleurs fait un article recemment sur le prochain « WIFIZOO 1.4 evolution»  qui permettra de sniffer les reseaux ouvert (oui forcement tout passe en clair, et le https de google, il suffit juste de recuperer le cookie, HTTPS ou PAS)
    Dans la video, je montre un sniff en mode monitor, sur reseau fermé (proteger par wep) decryptage des paquets + annalyse de cookies

    La video en question se trouve ici :
    http://benjy-blog.blogspot.com/2008/08/wifizoo-14-evolution-video.html

    Have fun

    ++
    benjy

    Posté le 13 août 2008 à 18:06:00

  12. kanif Reply to this comment


    j’ai pas compris pourquoi la recherche live renvoie a la boite gmail

    Posté le 13 août 2008 à 18:08:38

  13. Roger Reply to this comment


    Merci sam

    Posté le 13 août 2008 à 18:13:32

  14. benjy-blog Reply to this comment


    @ korben : google travail sur un correctif mais je doute …

    @ Neoseifer, FAUX que ca soit HTTPS OU HTTP, c’est un cookie donc il suffit juste de le récupérer que sa soit en etant connecté au réseau (sniff + arp poisoning) ou EN ETANT PAS CONNECTE (sniff en mode monitor)

    Sur mon blog, je presente une video sur le prochain wifizoo 1.4 evolution qui permettra de sniffer des informations sur les reseaux ouverts (tout passe en clair) et aussi protégé par clé (sniff en mode monitor, decryptage + annalyse)

    Donc que ca soit protégé ou pas, les moyens sont là

    have fun

    ++
    benjy

    Posté le 13 août 2008 à 18:16:19

  15. benjy-blog Reply to this comment


    Le mec dans sa video, il a completement tord, le https aussi se capture, tout dépend du web-browser simplement

    Un conseil, utiliser https + firefox pour aller sur votre messagerie gmail mais encore cela n’est pas sûr à 100 % mais cela sera toujours mieux qu’internet explorer + https par exemple )

    Posté le 13 août 2008 à 18:36:58

  16. Nas Reply to this comment


    @ Pecky…..

    Pas mal de monde utilise le http au lieu du https pour accéder à Google… dont moi et d’autres collègues !

    Dans pas mal de boite (les banques notamment, c’est mon cas) les sites en https sont bloqués à l’exception de quelques uns !

    Bref, elle me fait ch…cette faille !

    Posté le 13 août 2008 à 18:39:01

  17. Anubis Reply to this comment


    http://www.hiretohack.com/

    Ce site propose de pirater n’importe quelle boite email pour 150 euros.

    Il parait que lorsque que l’on demande une preuve, il nous renvoient notre mot de passe par email…

    Quelqun a osé tester ?

    Posté le 13 août 2008 à 18:52:59

  18. randi Reply to this comment


    Mais qu’apprends-je ? Quand on active pas le secure flag du cookie, il va être transmis si l’on apelle le même domaine (oui le certificat SSL signe un domaine) que ce soit en HTTPS ou en HTTP ? Mais ça alors, il avait donc une utilité ce flag ? Les petites lignes de la rfc2109 (de 1997) paragraphe 4.2.2 avaient donc un sens ?

    En fait c’est plutôt simple dans le principe : l’idée est de forcer le cookie à passer d’HTTPS à HTTP, ce qui nous le donne donc en texte clair.
    Pour exploiter cette faille ce n’est donc pas si trivial : il faut pouvoir écouter le traffic de la victime, et pourvoir en injecter de même (DNS spoofing, ou alors parier qu’on répondra avant le site ;) ).

    @Pecky : Ettercap tu veux dire ?

    @benjy-blog : Ce que tu dis est vrai pour un réseau ouvert, sinon il faut pouvoir décrypter la couche 802.11 quand même étant donné qu’elle encapsule indirectement la couche HTTP sur laquel le cookie est en clair. Il faut aussi pouvoir injecter du traffic (» 301 Moved Permanently» )…

    Posté le 13 août 2008 à 19:04:24

  19. benjy-blog Reply to this comment


    C’est exactement ce que je montre dans la video de wifizoo, le seul truc, c’est que je n’ai pas besoin d’injecter, juste de sniffer
    Pour les réseaux cryptés, il me faut evidement la clé

    Amusez-vous avec l’addon mozilla AnEC cookie editor, supprimer tout les cookies sauf celui nommé GX, voilà il suffit juste d’intercepter ce cookie, et tout le reste ce fait automatiquement

    ++

    Posté le 13 août 2008 à 19:21:25

  20. Great Reply to this comment


    @benjy-blog: Le gars dans la video a comme compte google au début « httpswontsaveyou» , qui est aussi le titre de l’article d’enablesecurity.com

    Donc au contraire il dit que le https n’aide pas a contrer le hack.
    Peut être une erreur de traduction dans le post ?

    Posté le 13 août 2008 à 19:22:16

  21. randi Reply to this comment


    @benjy-blog :Tu n’a pas dû comprendre c’est qu’en HTTPS le cookie est bien encrypté, l’idée ici est de basculer d’HTTPS en HTTP via une redirection 301 (et donc injecter du traffic) ce qui permet d’obtenir le cookie en clair.

    Posté le 13 août 2008 à 19:28:28

  22. benjy-blog Reply to this comment


    autant pour moi, le tool que j’utilise le fait tout seul

    Posté le 13 août 2008 à 19:34:45

  23. fabien Reply to this comment


    pour moi ca n’a rien a voir avec GMAIL
    tous les webmail qui utilisent des connexion persistante sonts vulnérable

    Posté le 13 août 2008 à 20:22:26

  24. Cichlidés du lac Malawi Reply to this comment


    C’est quoi l’inconvénient à utiliser le https ?
    Si y en a pas, pourquoi ne pas l’imposer ?

    Posté le 13 août 2008 à 23:57:30

  25. squal Reply to this comment


    eh mais j attendais juste cet article pour fermer ton blog d enculé a lunettes… t es vraiment qu un gros connard malgré l image que tu tentes de faire passer.
    J SUIS VRAIMENT ETONNé QU AUTANT D IMBECILES TE SUIVENT DANS L AVENTURE…
    t es l oeuf qui veut manger la poule? tu me comprends?
    Bah tu vas caqueter…

    Posté le 14 août 2008 à 00:02:22

  26. Gana Reply to this comment


    sympa le squal … et prétencieux en plus ..

    Signé : un imbécile qui confond pas les majuscules et minuscules

    Posté le 14 août 2008 à 00:05:14

  27. squal Reply to this comment


    en plus j vais en rajouter une couche!! t es un sbire tu prends t es infos ici o quotidien et je t emmerde…
    quand o majuscule NIK TA MERE ca te va?

    Posté le 14 août 2008 à 00:15:28

  28. fabien Reply to this comment


    ben va y squal ferme le blog si c’est t’es si fort
    vu que c’est que du vent qui sort de ta bouche , tu ferais mieu de la fermer , et de retourner en Maternelle pour apprendre à écrire francais

    Posté le 14 août 2008 à 00:25:33

  29. tuturdu69 Reply to this comment


    eUh ouaI
    tchou lé ga
    on fé coman pour piratté le fbi avc sa ?

    Posté le 14 août 2008 à 00:47:40

  30. elazard Reply to this comment


    Mdr squal, l’exemple type de la victime qui représente son code postal.
    Non sans rire fiston, casse toi.

    Posté le 14 août 2008 à 01:35:43

  31. Korben Reply to this comment


    @squal: J’espère qu’ils ne sont pas tous analphabètes comme toi à la Rochelle (Perigny), donc pour t’aider à apprendre à utiliser un proxy (si tu as la moindre idée de ce que c’est), je t’ai bloqué pour outrage à Korben dans l’exercice de son blogging.

    J’attends donc ton retour avec impatience.. Si tu y arrives, tu auras au moins appris un truc grâce à moi.

    Et embrasse ta mère sur la fesse droite de ma part petit troll farceur :)

    Posté le 14 août 2008 à 01:44:59

  32. Korben Reply to this comment


    @elazard: MDR ! Le Squal, il représente le 17180 :-) La grande classe quoi…

    Posté le 14 août 2008 à 01:45:55

  33. 1ace Reply to this comment


    et c’est partit pour les kikoolol/boulets en tout genre -_-» 

    Juste pour mettre les choses au clair avant que Korben lock les commentaires:

    1 – Ca n’a rien a voir avec Gmail: c’est pareil avec n’importe quel site qui permet de se logguer avec une session persistante

    2 – l’HTTPS permet de crypter la communication, donc impossible de récupérer la session. Ce que le gars semble faire (mais ne dit pas) c’est une injection pour rediriger la victime sur la page non-sécurisée (http). Il suffit de régler Gmail sur « Always use HTTPS»  pour que Gmail ne se fasse plus prendre. (pour les autres sites, il faut simplement qu’ils passent aussi au SSL)

    3 – benjy: Google ne peut pas « travailler sur un correctif»  vu qu’ils ne sont pas en cause, et proposent de toute façon déjà la solution depuis longtemps.

    4 – toujours benjy: « Le mec dans sa video, il a completement tord, le https aussi se capture, tout dépend du web-browser simplement» 
    Le contenu de la communication n’a aucun rapport avec le browser, il ne s’occupe que de l’interface.

    5 – @Cichlidés du lac Malawi: « C’est quoi l’inconvénient à utiliser le https ?» 
    Son inconvénient, c’est son avantage: le cryptage de la communication
    Dans certaines entreprises (où la sécurité informatique n’est pas un problème, genre boulangerie, mais pas dans une banque), il peut arriver que des admins réseaux curieux/voyeurs veuillent savoir tout ce que font leurs collègues, et bloquent les communications cryptées pour que tout le monde puisse voir ce que tout le monde envoie/reçois sur le réseau…
    cette phrase est évidement à prendre au second degré, mais pas complètement non-plus ^^)
    Le vrai inconvénient de l’HTTPS, c’est qu’il n’est pas utilisé partout: on est obligé de laisser tout disponible en version HTTP pour ceux qui ne serait pas capable de communiquer en HTTPS, et du coup ceux qui s’occupent de l’implémenter prennent leur temps vu que les webmasters seront toujours obligé de laisser l’HTTP, and so on

    Désolé pour ce gros post bien indigeste, mais j’avais besoin de clarifier les choses ;)

    Edit: Et forcément, le temps que j’écrive ce pavé, Korben s’est occupé de la situation ^^

    Posté le 14 août 2008 à 01:50:46

  34. Korben Reply to this comment


    @1ace: c’est pas les commentaires que je lock mais les boulzors :-)

    Posté le 14 août 2008 à 02:07:02

  35. Pecky Reply to this comment


    @Randi

    Effectivement, il s’agit d’ettercap (viva la coquille ;o))

    Posté le 14 août 2008 à 08:35:17

  36. David Reply to this comment


    @Korben: ( pour ton problème de Joomla ) ouai , pas utiliser Joomla! x]

    @Korben : ouep, t’en fais pas pour ces boulets , achète un canon comme ça on fera joujou en même temps :D

    Posté le 14 août 2008 à 08:53:11

  37. David Reply to this comment


    Hey, tu nous fais quoi Korbeninou ?! Quand je veux éditer mon commentaire il me dit que je spamme ! Non mais … Si des spams sortaient de mon clavier ça se saurait !

    Bon bah tans pis pour l’edit, et paf un double-post dans la tronche :D

    P.S : Je voulais dire que squal c’est un boulay . Quelqu’un aurait pas un canon par hasard ? :D

    Posté le 14 août 2008 à 08:58:21

  38. Geoffrey Dorne Reply to this comment


    merci @1ace pour toutes les explications :) et @korben : !kickban les boulzors :D

    Posté le 14 août 2008 à 09:17:58

  39. DscuD Reply to this comment


    Info intéressante. Merci bien. Je sais ce qu’il me reste à faire… ;-)

    Posté le 14 août 2008 à 10:22:13

  40. Retour de vacances et un bon anniversaire | TSPS Reply to this comment


    [...] > Korben nous explique pourquoi il est nécessaire d’utiliser le protocole HTTPS permanent dans Gmail [...]

    Posté le 14 août 2008 à 10:50:40

  41. feufol Reply to this comment


    @1ace : tes explications sont limpides, le petit scarabée que je suis se sent moins bête d’un coup ;-)
    Bon, je vous laisse y faut que j’aille vérifier mes mails…

    Posté le 14 août 2008 à 11:40:06

  42. Cichlidés du lac Malawi Reply to this comment


    Merci pour la réponse 1ACE.

    Posté le 14 août 2008 à 12:57:19

  43. benjy-blog Reply to this comment


    @ 1ACE :

    « benjy: Google ne peut pas “travailler sur un correctif” vu qu’ils ne sont pas en cause, et proposent de toute façon déjà la solution depuis longtemps.» 

    Justement comme je l’ai dis google travail sur une autre méthode afin de ne pas intercepter le bon cookie (il n’y en a qu’un nommé GX et l’acces au compte est faisable grace à ce seul cookie)

    « toujours benjy: “Le mec dans sa video, il a completement tord, le https aussi se capture, tout dépend du web-browser simplement”
    Le contenu de la communication n’a aucun rapport avec le browser, il ne s’occupe que de l’interface.» 

    FAUX, je testes les tools et le web-browser ne réagit pas pareil
    boot sur backtrack et annalyse tes cookies sniffés tu verras que tu n’intercepteras pas tout selon le webbrowser utilisé.

    ++

    Posté le 14 août 2008 à 14:02:37

  44. Sandro Gauci Reply to this comment


    Hi guys – Interesting comments :)

    If you got any feedback on the tool or the paper feel free to contact me.

    Posté le 14 août 2008 à 14:06:52

  45. Pixel Reply to this comment


    Intéressant mais dommage que le Notifier de Gmail ne soit apparemment pas compatible avec l’activation systématique du https…

    Posté le 14 août 2008 à 14:22:40

  46. elazard Reply to this comment


    1 – Ca n’a rien a voir avec Gmail: c’est pareil avec n’importe quel site qui permet de se logguer avec une session persistante

    Ca c’est profondément déplaisant, ça veut dire qu’à part une paire de site genre paypall (je sais jamais avec le nombre de L : /)ben si quelqu’un veut t’entuber sur tous les reste c’est pour ainsi dire une question d’astuce. M’enfin j’suis belge et en belgique, ça court pas les rues les gens qui peuvent ne fut ce que capter la vidéo mdr. (je m’inclus bien évidement dans le tas).

    Posté le 14 août 2008 à 18:02:18

  47. Yazerty Reply to this comment


    @1ace: Merci pour toutes ces explications très claires :) !

    Posté le 14 août 2008 à 19:51:06

  48. 1ace Reply to this comment


    @elazard: ça a toujours été comme ça, et ça le sera toujours: les hackers ont toujours un tour d’avance
    il faudra t’y habituer, ou alors abandonner toute technologie informatique ;)

    il faut juste être conscient que la sécurité n’est qu’un idéal, et comme tous les idéaux il ne pourra jamais être atteint.

    Posté le 14 août 2008 à 23:44:58

  49. Matt Reply to this comment


    Omg…

    Posté le 16 août 2008 à 00:15:36

  50. oliparcol Reply to this comment


    Si vous voulez continuer à utiliser gmail notifier même si vous êtes sous ssl: http://www.wikihow.com/Hack-Gmail-Notifier-to-Use-SSL ou autre solution télécharger le fix ici http://groups.google.com/group/Gmail-Help-Logging-In-en/browse_thread/thread/c1270fcfffecd144

    Posté le 16 août 2008 à 09:24:11

  51. Korben Reply to this comment


    @oliparcol: Merci pour l’astuce ! C’est chouette

    Posté le 16 août 2008 à 10:07:53

  52. benjy-blog Reply to this comment


    Bon après mes nombreux doutes, mes nombreux test sur ces fameux cookies gmail, j’en vient à une conclusion :

    1. Utiliser toujours le protocole HTTPS (voir dans vos paramètres gmail)

    2. N’utilisez pas un web browser telle que internet explorer, mieux vaut prendre mozilla firefox

    3. Si une alerte de sécurité apparait en vous précisant que le certificat de sécurité n’est pas valide, ne clicker pas sur « ok» , un sniffeur est dans les parage.

    ++

    Posté le 16 août 2008 à 10:46:07

  53. Pirater un compte Gmail Reply to this comment


    [...] viens d’apprendre sur le blog de Korben qu’on pouvait facilement pirater un compte Gmail par l’intermédiaire du logiciel surf [...]

    Posté le 20 août 2008 à 09:18:30

  54. Cochon Reply to this comment


    Benjy-blog a écrit :
    (…)
    3. Si une alerte de sécurité apparait en vous précisant que le certificat de sécurité n’est pas valide, ne clicker pas sur “ok”, un sniffeur est dans les parage.
    (…)

    Ou que le certificat n’est plus valide…

    Posté le 26 octobre 2008 à 01:40:37

« Back to text comment