jeudi 1 avril 2010

L'histoire de Hacker Croll qui a piraté le compte Twitter d'Obama





(Attention où vous mettez les pieds! Cette histoire est là pour montrer encore une fois que l'anonymat n'est pas une réalité sur Internet, mais juste une impression..)

Tout le monde parle de ce Hacker Croll qui avait piraté le compte Twitter de Barack Obama (et de Britney Spears) et qui vient d´être arrêté (Mars 2010)! Une histoire qui a débuté depuis Avril 2009 par la diffusion de plusieurs captures d'écran de l'administration de Twitter. L'affaire était signée Hacker Croll, un pseudoname qui veut dire  clin d'œil. Le pirate prétend être un gentil, même après son intrusion et le vol de plusieurs informations confidentielles du site de micro blogging Twitter.
Ce qui est interessant dans cette histoire de piratage, c'est la méthode qu'a suivi ce jeune français agé de 25 ans. Une méthode qui montre la facilité, en creusant un peu, de dévoiler pleins de choses sur la population d'Internet. Ce passionné par le social engineering a détaillé la procédure dans un interview avec Zataz, publié en Juin 2009 dont je vous présente un extrait :

- Peux-tu nous expliquer ta méthode ?


- Oh, elle est presque simple. Il fallait un peu de temps, de chance et de curiosité. Première action, arriver à trouver une adresse électronique des employés ? J'ai eu juste à chercher en faisant un whois sur des noms de domaines appartenant à des employés. Seulement, au départ, galère. Certains Registars masquent les adresses pour lutter contre le spam et préserver un peu plus l'anonymat de leurs clients. Je me suis rendu dans la page About US de Twitter et j'ai consulté la fiche de chaque employé. Certains avaient indiqué l'url de leur site web. Il m'a suffit de faire, de nouveau, un Whois.

- Que faisiez-vous avec ces emails ?

-Certains des employés possédaient une adresse du style machintruc@mondomaine.com. Je me suis dit que dans cette situation, impossible d'agir, il n'y a pas de processus de redéfinition de mot de passe pour ces adresses. D'autres employés avaient une adresse de type @gmail.com. Chez Gmail, autre problème, on ne peut accéder à la question secrète seulement après une inactivité de 24h sur le compte en question. Et comme la plupart des employés s'y connectent tous les jours, difficile de passer par là.

- D'où l'attaque par Yahoo ?

- Oui, il y avait d'autres employés qui avaient renseigné une adresse en @yahoo.com. C'était le cas de Jason Goldman par exemple. Je vais sur Yahoo. Je clique sur mot de passe oublié et je rentre son adresse. Je me heurte à une première difficulté.

- Laquelle ?


- Yahoo demande de vérifier l'identité avant de pouvoir accéder à la question secrète. Pour cela il demande de renseigner la date de naissance, le code postal, le pays tels qu'ils figurent sur le compte. Je n'avais jamais réussi à franchir cette étape, mais par chance, l'employé possédait un blog qui datait de 2002 dans lequel il racontait sa vie. Dans son profil figurait son âge et son signe astrologique. J'ai ainsi pu déterminer son année de naissance.

- Vous n'aviez pas le jour ?


- Non, mais en recherchant dans des articles, j'ai rapidement pu trouver ma réponse. J'ai trouvé la réponse dans une page datant d'octobre 2004. Heureusement d'ailleurs car Yahoo! bloque les comptes emails après 10 fausses tentatives. [au bout de 10 mauvaises tentatives de connexion, NDR]. Le code postal n'a pas été compliqué. Je l'ai trouvé à l'aide du whois. Pour sa question secrète, simple, c'était sa ville de naissance, Saint-Louis.

- Ensuite ?
- Ensuite, j'ai oublié une étape et c'est ça qui a tout fait foirer. Ni lui, ni Twitter n'auraient vu, ni su.

- Cette erreur ?
- Le gars avait indiqué plusieurs emails de secours pour récupérer son mot de passe. Chez Yahoo! dès que l'on modifie ton mot de passe, la réponse à la question secrète, ... le webmail envoie une notification par courriel. C'est comme ça qu'il a su ! Il était connecté sur son compte gmail à ce moment là.

- Qu'avez-vous fais ensuite ?

- Une fois sur son compte Yahoo, la première chose que j'ai réalisé a été de de virer ses emails de secours. J'ai également modifié sa question secrète. Ensuite j'ai commencé les recherches dans ses messages avec le mot clé password. Je suis tombé sur une multitude de mots de passe différents. Il avait en fait toujours le même mot de passe avec une petite variante, deux lettres. Les deux premières lettres du site utilisait. Google, ça donnait GOxxxx ; Twitter : TWxxx ; Gmail : gmxxx ; ...

- Et vous avez trouvé le passe de l'administration de Twitter ?

- Oui et non. Son identifiant htaccess ne finissait pas par @twitter.com mais uniquement ce qui précédait son adresse email.

- Une fois dans l'administration, qu'avez-vous fait ?


- J'ai fait quelques captures écrans et j'ai été rapidement découvert. Près de 15 minutes plus tard, le staff de Twitter a remarqué une activité anormale et ils ont désactivé l'administration.
Partagez cet article sur vos réseaux sociaux :



Recevez les nouveautés par email

1 commentaires:

Anonyme a dit…

8-)

Sélectionnez les signes à côté du smiley à insérer dans votre commentaire

:)) ;)) ;;) :X :(( =(( :-o :-* :| :)] :-t
b-( :-L :-/ o_O :D ;) :p :) :( 8-) ^^

Enregistrer un commentaire

Related Posts with Thumbnails