Nous sommes en 2019, et un simple clic sur une URL peu permettre à un attaquant de pirater votre compte Facebook sans autre interaction.
Un chercheur en sécurité a découvert sur la plate-forme de médias sociaux la plus populaire une vulnérabilité de falsification de requêtes intersites qui aurait pu permettre à des attaquants de détourner des comptes Facebook en incitant simplement les utilisateurs ciblés à cliquer sur un lien.
Le chercheur, qui utilise l’alias en ligne « Samm0uda », a découvert la vulnérabilité après avoir repéré un point de terminaison défectueux (facebook.com/comet/dialog_DONOTUSE/) qui aurait pu être exploité pour contourner les protections et le compte de la victime de prise de contrôle.
L’attaquant n’a qu’à inciter les victimes à cliquer sur une URL Facebook spécialement conçue, comme indiqué sur son blog, conçue pour effectuer diverses actions telles que l’affichage de quelque chose sur leur timeline, la modification ou la suppression de la photo de leur profil, et même l’incitation des utilisateurs à supprimer leur comptes Facebook entiers.
Lire aussi: 8 conseils pour sécuriser votre site Web contre les hackers
Cliquez sur Exploiter pour reprendre complètement les comptes Facebook
Prendre le contrôle intégral des comptes Facebook des victimes ou les inciter à supprimer leur compte Facebook en entier nécessite des efforts supplémentaires de la part de l’agresseur, car les victimes doivent saisir leur mot de passe avant que le compte ne soit supprimé.
Pour ce faire, l’enquêteur a déclaré qu’il faudrait que les victimes visitent deux URL distinctes, l’une pour ajouter le courrier électronique ou le numéro de téléphone et l’autre pour le confirmer.
C’est « parce que les ordinateurs d’extrémité » normaux « utilisés pour ajouter des adresses électroniques ou des numéros de téléphone n’ont pas de paramètre » suivant « pour rediriger l’utilisateur après une requête réussie », explique le chercheur.
Cependant, le chercheur a néanmoins rendu la prise de compte complète possible avec une seule URL en recherchant les points d’extrémité où le paramètre « next » est présent, en autorisant une application malveillante pour le compte des victimes et en obtenant leur jeton d’accès Facebook.
Grâce à l’accès aux tokens d’authentification des victimes, l’exploit ajoute automatiquement une adresse e-mail contrôlée par l’attaquant à son compte, ce qui permet à l’attaquant de prendre totalement le contrôle des comptes en réinitialisant simplement ses mots de passe et en excluant les utilisateurs légitimes de leurs comptes Facebook.
Bien que le piratage complet du compte Facebook ait impliqué plusieurs étapes, le chercheur a déclaré que l’exploit complet en un clic aurait permis à tout utilisateur malveillant de détourner votre compte Facebook « en un clin d’œil ».
Lire aussi: YEFIEN Communication: Agence de Marketing Digital
Ces attaques de prise de compte peuvent être atténuées si vous avez activé l’authentification à deux facteurs pour votre compte Facebook, empêchant ainsi les pirates informatiques de se connecter à vos comptes jusqu’à ce qu’ils vérifient ou non le code d’authentification à 6 chiffres envoyé à votre appareil mobile.
Toutefois, aucune mesure d’atténuation ne pourrait empêcher les pirates informatiques d’exécuter certaines actions en votre nom en exploitant cette vulnérabilité, par exemple modifier ou supprimer vos photos de profil ou vos albums, ou publier quoi que ce soit sur votre plan de montage.