Nous sommes en 2015, et, des comptes Facebook qui se font pirater, il y en a tous les jours dans le monde entier. Beaucoup se posent la question " Mais comment font-ils pour pirater notre compte Facebook ? " et d'autres sont plutôt " Comment sécuriser mon compte Facebook ? "
Dans cet article, je vais tenter de vous citer et de vous expliquer les différents types d'attaques possibles, mais également comment vous protéger de celles-ci pour ne pas être un des utilisateurs Facebook victime d'un piratage (moi même l'ayant été 2 fois ;-) ).
Comment un pirate peut hacker votre compte Facebook ?
Un pirate expérimenté peut vous hacker soit en vous manipulant, soit en n'ayant aucun contact avec vous. Dans ce dernier cas, c'est bien plus complexe.
La manipulation ou le social engineering
Alors bien sur, ces deux termes sont plus ou moins synonymes, quoi que la manipulation est plus vaste dans notre domaine.
Le social engineering est le fait d'escroquer, de manipuler pour obtenir des informations. Cette technique est bien sur beaucoup utilisée dans le piratage informatique et, pour vous donner un exemple, beaucoup utilisé par le groupe " Anonymous. "
En d'autres termes, en utilisant le social engineering, vous " demandez " les informations dont vous avez besoin à votre victime. M'enfin, c'est assez complexe, ce n'est pas le sujet de cet article ! ;-)
Les techniques liées au social engineering pour pirater un compte Facebook sont (principalement) :
- La page de phishing (aussi dit hameçonnage).
- L'infection via malware / virus ciblée.
Le phishing
En utilisant la technique de la page de phishing, le pirate va en faite créer un site web se composant d'une seule page et, cette page, sera identique à celle de Facebook. Lorsque la victime arrivera sur celle-ci, elle pourra s'y connecter.
Ensuite, elle sera automatiquement redirigée vers la page de connexion officielle de Facebook. Donc, la victime pourra croire à un bug.
Cette technique est encore beaucoup trop utilisée pour les piratages massifs de comptes Facebook . Via mail, principalement. Bien qu'elle prenne de l'âge et que les avertissements aux utilisateurs concernant le phishing sont nombreux, encore beaucoup trop d'internautes se font prendre au piège.
Le malware / virus
L'utilisation d'un virus, qu'il soit codé par ses propres soins, acheté sur le black market ou encore téléchargé depuis un petit forum traitant le hacking est une des techniques les plus utilisées par les hackers amateurs et experts.
Le phishing devient de plus en plus utilisé pour les attaques massives, mais le virus, lui, peut autant être utilisé dans les vagues d'attaques massives que dans une attaque ciblée.
Le virus espion pris en main par des pirates pour hacker un ou plusieurs compte(s) Facebook peut en général être un keylogger (enregistreur de frappes du clavier) ou un stealer (il " steal " donc vole tous vos mots de passes enregistrés dans votre navigateur). Là, ce sont les deux virus les plus " basiques " dirais-je pour les hackers.
Le malware peut être flou aux yeux des antivirus grâce à différentes méthodes que je ne citerai pas dans cet article. Celles-ci permettent de le rendre " indétectable " (ou presque) pour les antivirus.
Sachez tout de même qu'un peu moins de 50% des ordinateurs, en 2015, sont infecté par un ou plusieurs virus / malware(s) et tout autre type de logiciel malveillant. C'est énorme.
Pirater un compte Facebook sans avoir de lien(s) avec la victime
Bon, on en a fini avec les techniques concernant le social engineering (virus et phishing), quoi qu'il en existe bien d'autres ! Il est également possible pour un pirate de hacker un compte Facebook sans avoir de lien avec la victime (donc sans utiliser le social engineering, entre autre).
Brute force ou wordlist
Il peut, s'il n'est pas connecté sur la même connexion internet que vous, lancer une attaque par brute force ou wordlist.
Cette attaque va tester toutes les combinaisons possibles jusqu'à obtention du mot de passe de la victime (brute force) ou bien, depuis un fichier texte contenant des millions de mots, tous les tester jusqu'à obtention du mot de passe.
La durée de cette attaque, jusqu'à conclusion, peut prendre plusieurs heures, comme plusieurs jours ou semaines. Cela dépend de la connexion internet du pirate (pour pirater un compte Facebook) mais également de la puissance de son ordinateur et de la solidité de votre mot de passe. Il existe aussi une solution beaucoup plus facile à retrouver sur cette page
DNS Spoofing
Le nom fait peut être peur, mais en faite, c'est une technique assez simplette et très puissante. Celle-ci est généralement utilisée lorsque la victime se retrouve sur le même réseau que le hacker (par exemple en lieu public).
Le hacker peut donc, en quelques manipulations, changer la page Facebook réelle de la victime par une fausse, sans que la victime ne s'en rende compte. Pour exemple ...
Sniffing réseau
Etre connecté sur un réseau public est dangereux non seulement pour le DNS Spoofing, mais également pour le sniffing réseau.
A l'aide d'un logiciel entièrement légal (comme Wireshark), le hacker peut sniffer le réseau public et analyser les requêtes faites par les utilisateurs. Si, imaginons, un internaute se connecte sur Facebook, le hacker pourra analyser sa requête et obtenir son mot de passe en clair ou crypté.
C'est pour cela que nous déconseillons d'entrer vos données sensibles sur des réseaux publics, m'enfin, il ne faut pas non plus être parano ! ;-)
Comment se protéger des hackers visant notre compte Facebook ?
Jusqu'à présent, je pense que je vous ait déjà expliqué pas mal de choses. Alors maintenant, passons au deuxième et dernier point : se protéger des attaques visant notre compte Facebook .
Le meilleur antivirus, c'est vous !
Il n'y a pas de miracle. Un antivirus reste un robot, et un robot reste, en 2015, moins intelligent qu'un humain (phrase à revoir dans quelques années ;-) ).
Plus sérieusement, je vous conseille, pour ne pas être victime d'un piratage de compte Facebook :
Concernant la manipulation / le social engineering :
- N'acceptez dans votre liste d'amis que les gens que vous connaissez dans la vraie vie.
- Si un lien qu'une quelconque personne vous envoie vous semble suspect, ouvrez le (pas de soucis) mais gare au phishing.
- Ne téléchargez pas de fichier exécutable (logiciel) depuis Facebook . Sérieusement, quand un de vos amis veut vous présenter un logiciel, il vous envoie un lien, non ? Bien.
Pour ce qui parle des techniques de piratage sans contact :
- Protégez-vous par un ou 2 antivirus (sur mon ordinateur principal, je possède deux antivirus). Je vous conseille avant tout Avast et AVG, sinon le meilleur antivirus. Si vous avez une bonne machine, installez les deux. Si non, n'installez que Avast.
- Ne téléchargez pas tout et n'importe quoi sur internet (les films, séries, musiques, jeux-vidéo piratés ainsi que les cracks de logiciels).
- Utilisez un mot de passe Facebook solide se composant d'une majuscule, de plusieurs minuscules, de plusieurs chiffres et si vous avez bonne mémoire d'un caractère spécial. De cette façon, votre mot de passe ne pourra pas être cracké avec la brute force ou wordlist par le gamin de votre rue.
- Ne vous connectez pas sur votre compte Facebook sur un réseau public si vous n'êtes pas certains de sa fiabilité.
M'enfin voilà, vous avez les bases. J'espère que cet article vous aura été utile, si c'est le cas, n'hésitez pas à le partager via vos réseaux sociaux ! ;-)
Crédit photos | Blazej Lyjak et tommaso79