DzRider

Tout a débuté ce matin ou j’ai décidé de changer le mot de passe de mon compte Twitter (oui il faut changer régulièrement ses mots de passe!).
Je vais donc sur le site, je modifie le mot de passe, me reconnecte avec le nouveau mot de passe, tout est ok.

C’est lorsque j’ai voulu mettre à jour ce mot de passe sur les diverses applications connectées à mon compte Twitter (echofon pour iphone et firefox, Dragon diction pour iphone par exemple) que j’ai décelé un le petit souci.

En effet, j’ai remarqué qu’echofon pour firefox venait de mettre à jour mes tweets! Comment était-ce possible qu’il soit toujours connecté alors que le mot de passe de mon compte venait de changer? La vérité est ailleurs.

Pour vérifier, je teste en le déconnectant et en vidant tout le cache de Firefox puis je reconnecte echofon et là, miracle! Il se connecte sans problème, je peux continuer à suivre ma timeline et à tweeter. Je fais la même manipulation sur echofon pour iphone, ça fonctionne, idem pour Dragon diction.

Je décide donc de pousser un peu le vice en changeant le mot de passe qui était stocké pour echofon Firefox par une suite de « aaaaaaaaaa » et remiracle, ça fonctionne toujours! je peux tweeter sans problème. En gros, je peux mettre n’importe quel mot de passe, la connexion s’établit.

Le souci ici, c’est que si une personne mal intentionnée réussit à récupérer votre mot de passe, qu’il se connecte avec une application cliente type echofon, vous pourrez changer de mot de passe tant que vous voudrez, il pourra toujours se connecté à votre compte!

RECOMMANDATIONS

Le seul moyen de se prémunir de ce problème d’authentification est de révoquer l’accès de vos applications via l’onglet « connections » des préférences de twitter puis de les réautoriser.

Suite à ça, vos applications vous préviendrons que le mot de passe n’est pas le bon, et vous devrez entrer le nouveau mot de passe choisi plus tôt.

CONCLUSIONS

Nouveau souci de « OAuth » ou problème dans l’implémentation de ce protocole par Twitter?

Ou alors est-ce la gestion de la mise à jour des mots de passe qui ne fait pas totalement son travail et qui oublie de réinitialiser les autorisations d’applications?

Pour le moment je n’ai pas trop le temps de pousser le sujet, mais si vous avez des infos je suis preneur

Ron Bows, du site skullsecurity.org, a déclaré sur son blog avoir récupéré près de 171 millions de noms de profiles Facebook et ce grâce à un simple script. Un fichier torrent contenant tous les résultats de la recherche et les scripts a été mis à disposition sur le blog.

L’objectif premier de Ron était de générer des listes de noms puis de les transmettre à @Ithilgore pour qu’il les utilise dans son nouvel outils  de brutefoce Ncrack (outils à la Nmap permettant de cracker les authentifications réseau).

Mais Ron a réalisé que c’était mal, car il peut trouver à peu près tout le monde sur Facebook, même ceux qui ont refusés d’apparaître dans les résultats de recherche!

Une fois qu’il a le nom et l’URL de l’utilisateur, il peut voir par défaut la photo, les amis, les information et d’autres détails. Si l’utilisateur a configuré ses options de vie privée au plus haut, il ne peut voir que le nom et la photo. Donc si n’importe quel utilisateurs « consultable » (entendre par là, qu’ils apparaissent dans les résultats de recherche) possède des amis « non consultable », ces amis seront trouvés!

Donc, Ron a écrit un petit script Ruby (55 lignes exactement) qu’il a utilisé pour télécharger tout le contenu du dossier http://www.facebook.com/directory (le moteur de recherche de personnes de FB).

Et le résultat est assez surprenant car il a effectivement obtenu 171 millions de noms (100 millions de noms unique).

Tous les résultats de cette recherche sont présents dans le torrent, que je me suis empressé de télécharger (il fait quand même presque 3 Go).

Le fichier contient plusieurs archives, décrites dans le README:

 Intro
-------
This was generated around July 15, 2010, by Ron Bowes. 

Check out http://www.skullsecurity.org for more information. 

-------
 Files
-------

Filename                        Description
-------------------------------------------------------------------------
facebook.rb                     The script used to generate these files (v1)
facebook.nse                    The script that will be used for the second pass (v2)
facebook-urls                   The full URLs to every profile
facebook-names-original         All names, including duplicates
facebook-names-unique           All names, no duplicates
facebook-names-withcount        All names, no duplicates but with a count
facebook-firstnames-withcount   All first names (with count)
facebook-lastnames-withcount    All last names (with count)
facebook-f.last-withcount       All first initial last name (with count)
facebook-first.l-withcount      All first name last initial (with count)

Ron nous donne donc:

• Les scripts qu’il a utilisé (attention, il suggère de ne pas relancer le script car cela prend environ une centaine de gigas en bande passante…)
• Les URL de touts les profils utilisateurs consultable de Facebook (archive de 1.3 Go)
• Des liste de noms, prénoms, username avec ou sans comptage (par exemple il existe 129369 « jsmith »).

Pour le moment, il n’a pu qu’indexer les utilisateurs « consultable », sans prendre en compte leurs amis, car cela ferait encore plus de données à traiter et il ne peut techniquement pas le faire actuellement. Mais il reste ouvert à toute proposition si quelqu’un possède un peu de bande passante à lui donner.

En conclusion, les données récupérées ne sont qu’un extract de celles disponibles via l’annuaire de Facebook, donc ce n’est pas non plus l’info du siècle.
Mais si dans le futur Ron venait à faire tourner son script pour récupérer les amis des amis des amis en intégrant tout ceux qui ont refusés d’apparaître dans le résultat de recherche, alors là les données pourraient être plus intéressantes

A quand un annuaire global de Facebook avec plus de 500 Millions d’entrées?

Début Juillet, la société FREESECURITY spécialisée dans le domaine de la sécurité informatique (audit, conseil et formation), a lancé un nouveau projet libre et collaboratif: Security Garden.

Ce site consiste a répertorier les outils de sécurité informatique que les pentester peuvent utiliser. C’est un peu le packetstorm des Jedi.

Le site présente plusieurs thèmes sous forme d’onglet: Vulnérabilité, Réseau,Applicatif / Système, BDD, Mot de passe, Détection d’intrusion et Divers:

Chaque outils est clairement présenté :

• la plateforme sur lequel il a été testé,
• son type : Binaire, Install, Script ou Source
• sa version de l’outil
• sa date de sortie
• son type de licence
• des screenshots sont présents pour se faire une idée de l’IHM
• Une description détaillée
• Et le petit plus, l’avis du contributeur!

Question réseau social, des boutons « j’aime » et « j’aime pas » sont disponible ainsi que de nombreux liens de partage (FB, twitter, delicious, digg, etc.

Bien que jeune, le site est assez fourni (50 outils dans la base) et ne demande qu’a être agrémenté.

Pour cela, il est d’ailleurs possible de se créer un compte pour y partager ses propre outils.

Je recommande vraiment ce site (je me suis le flux RSS dans mon GReader pour être prévenu de tout nouveau dépôt) et j’encourage tout ceux qui s’intéressent à la sécurité à aller contribuer à ce projet.

J’ajoute que FREESECURITY a aussi sorti son moteur de recherche dédié à la sécurité : www.qswx.fr. Il fera sans doute l’objet d’un nouveau billet un de ces 4.