Avalanche de liens pornos sur Facebook : décryptage de l'attaque des pirates
L'attaque n'a pas seulement exploité une faille humaine, mais a révélé de graves vulnérabilités chez Facebook et les dernières versions des navigateurs les plus populaires.
Facebook vient d'être victime, selon ses termes, d"une attaque de spam coordonnée" qui a abouti à la propagation massive d'images sexuellement explicites ou violente sur les pages de ses membres.
A l'heure où, d'une manière plus générale, les réseaux sociaux ciblent et envahissent les entreprises, ce type d'attaque les expose. D'autant que l'anatomie de cette attaque fait apparaître à la fois des failles classiques, mais aussi des vulnérabilités critiques au sein d'une structure informatique de pointe et qui se doit d'être réactive (Facebook), mais aussi des dernières versions de navigateurs populaires (Internet Explorer 8 et 9).
L'attaque subie par Facebook et ses utilisateurs repose en fait sur l'exploitation, par la victime elle-même et non le pirate, d'une faille navigateur de type XSS. La victime copie-colle en fait du code JavaScript dans la barre de son navigateur. Des chercheurs en sécurité ont utilisé les termes d'"auto-XSS" ou injection JavaScript "auto-infligée" pour décrire cette attaque.
Anatomie de l'attaque
Il est possible d'exécuter du JavaScript via la barre d'adresse du navigateur, localement, pour interagir avec la page ouverte sur laquelle se trouve l'internaute. Certains outils de développeurs, comme GreaseMonkey, se servent d'ailleurs de cette possibilité pour altérer certains aspects d'une page Web. Mais des pirates peuvent aussi s'en servir pour réaliser certaines actions non voulues par l'internaute sur la page ouverte.
Dans le cas de Facebook, "le code va pouvoir agir sur le compte sur lequel l'internaute piégé est connecté, en actionnant le bouton 'like' ou en envoyant des messages à des contacts de manière involontaire", précise l'expert Mike Geide, sur le blog de la société Zscaler, spécialisée dans le filtrage d'internet et la sécurité des applications Web.
A noter que code JavaScript peut être caché, derrière un numéro par exemple, qui sera en fait un bookmarklet ou d'un signapplet, qu'il faudra ensuite copier-coller dans la barre de navigation De fausses applications Facebook ont déjà utilisé ce procédé.
Les utilisateurs, seuls responsables ?
Pour pouvoir pousser les utilisateurs à copier-coller le code, les pirates utilisent la méthode d'ingénierie sociale basique et bien connue de l'appât. Ils promettent ainsi une récompense à celui qui va exécuter cette manœuvre inhabituelle.
Cette attaque "auto-XSS" n'est d'ailleurs en fait pas nouvelle sur Facebook : Zscaler en récense au moins trois récentes, dont notamment celle qui a eu lieu juste après la mort de Ben Laden. Les pirates proposaient en effet aux internautes copiant-collant une URL de visionner une vidéo inédite de la mort du terroriste - une vidéo qui n'existe évidemment pas. Cio.com se souvient également d'une autre attaque de même type, plus d'un an avant la mort de Ben Laden. L'appât était alors des bons d'achats dans un célèbre magasin.
Failles XSS dans Facebook
Si c'est donc bien l'utilisateur qui réalise la manœuvre, Facebook a aussi failli. En outre, ce type d'attaque était donc bien connu depuis plusieurs semestres, et Facebook n'a pas pris les mesures nécessaires pour les empêcher. Le réseau social a beau avoir aujourd'hui indiqué, une nouvelle fois, avoir "mis en place des mesures pour réduire le potentiel de ces attaques", cela ne semble encore suffisant. Mike Geide explique en effet pouvoir encore exploiter des failles XSS dans Facebook.
Si cet expert reconnaît que Facebook a bien empêché les actions les plus sensibles de s'exécuter via injection de JavaScript, certaines restent encore possibles. Ainsi injecter du JavaScript dans les champs à remplir pour se décrire dans le réseau social permet d'envoyer à tous les contacts une invitation à rejoindre un groupe. Plus grave : Mike Geide explique pouvoir exploiter une faille XSS dans Facebook pour envoyer une invitation à tous les contact contenant un iFrame malicieux.
Dernières versions d'Internet Explorer vulnérables
Les tests réalisés par Chet Wisniewski, un chercheur en sécurité chez Sophos, a pu montrer que Google Chrome et les versions supérieures à Firefox 6 n'étaient pas exposées à cette attaque parce ces navigateurs ne permettent tout simplement pas à la barre d'adresse d'exécuter du code Javascript collé. Contrairement à Internet Explorer 8 et même 9, ainsi qu'Opera Software 11.5 et Safari 5.1, dont toutes les barres d'adresses peuvent exécuter du code Javascript collé. IE8 et IE9 représentent à eux deux plus du tiers du marché des navigateurs aujourd'hui.