Note importante :

La page présentée n’a été créée que dans l’unique but de servir d’illustration à cet article. Elle n’existe plus, et a été initiée depuis un compte créé lui aussi à cet effet. Par ailleurs, son intitulé ne reflète en rien la pensée de l’auteur de cet article. Il est volontairement « choquant » pour permettre de ne pas passer, dans un premier temps, les mailles de la censure Facebook.

L’une des fonctionnalités de Facebook, très prisée par une certaine tranche d’âge des utilisateurs, est le système de pages / groupes. Une page ou un groupe fédère des utilisateurs autour d’un point commun, qu’il soit sérieux (une enseigne de magasin, un artiste) ou totalement absurde.

Par mesure de précaution, une censure est mise en place au moment de créer une page ou un groupe, afin d’empêcher l’existence de pages telles que « j’aime la cocaïne » ou « Vive Marc Dutroux ! ». Tout ceci est parfaitement normal.

Toutefois, cette censure a ses limites, bien vite atteintes. Le but de cet article est d’en faire la démonstration, afin de « dénoncer » le manque de professionnalisme de la société Facebook dans ses obligations de sécurisation du site.

1. Première tentative de création d’une page

Ici, le nom « Faire l’apologie de crimes de guerre » est clairement refusé.

2. Seconde tentative de création d’une page

Le nom de la page demandée est « FAIRE L’APOLOGIE DE CRIMES DE GUERRE ». Encore une fois, refus. A noter que le nom, dans le champ, a une casse différente : le changement provient de Facebook, qui semble ne pas aimer les noms intégralement rédigés en majuscules.

3. Troisième tentative de création d’une page

Et bien oui ! En changeant le nom de la page demandée pour « FaiRe L’aPoLoGie De CRiMeS De GueRRe », le filtre n’y voit que du feu et valide la création. Rien n’a changé par rapport aux deux tentatives précédentes… si ce n’est la casse particulière de celle-ci.

4. Conséquence

Grâce à Facebook, n’importe quel utilisateur peut désormais déclarer aimer l’apologie de crimes de guerre, malgré le semblant de protection mis en place.

5. Tentative post-création

Cerise sur le gâteau : grâce à l’interface de gestion de la page, il est possible de demander le changement de nom pour celui qui nous avait été refusé à la première étape de cette démonstration. Où est le filtre ?

6. Résultat final

Malgré le filtre présent à la création de la page, il est tout à fait possible de nommer une page sans contrainte sur les termes choisis. Il est inquiétant de constater que Facebook semble prendre, une fois de plus, la question de la sécurité à la légère.

Il est à noter cependant qu’un nom propre, très fortement lié aux heures les plus sombres de la France durant la Seconde Guerre Mondiale, soit refusé à chaque étape de cette démonstration ; pourquoi seulement ce nom ? Le filtrage des pages Facebook est décidement bien étonnant.

Son but est de permettre le vol de cookies, ces petits fichiers utilisés pour vous « reconnaître » sur un site et vous dispenser de l’étape d’authentification. L’intérêt de les voler ? Pouvoir s’authentifier à votre place sur un site, sans aucun identifiant ou mot de passe.

L’utilisation de cette extension est enfantine et démontre à quel point il est urgent que certains sites (au hasard… Facebook) prennent enfin les mesures nécessaires pour garantir à ses utilisateurs un niveau de sécurité acceptable, ce qui n’est pas le cas à l’heure actuelle.

Parmi les sites concernés : Facebook, Twitter, Google, Flickr, Windows Live, Amazon, Yahoo…

Tant que les communications ne passeront pas systématiquement par le protocole SSL (adresses en https:// et petit cadenas affiché sur votre navigateur) de bout en bout, il est fortement recommandé de ne plus s’authentifier sur ces sites à partir d’une connexion non-sûre (réseau WiFi ouvert ou peu protégé). A l’heure actuelle, la protection SSL mise en place ne concerne bien souvent que l’étape d’authentification, et laisse le flux en clair pour le reste de la navigation.

Notez enfin que Firefox n’est pas responsable de cette extension, et que l’utilisation de cette dernière est réellement à la portée de n’importe quel pirate en herbe, qui aurait alors un accès total à vos données dans le cas où vous en seriez victime.

Le site Zataz.com a récemment publié un article sur le fournisseur gratuit d’adresses e-mail jetables Yopmail, que vous pouvez consulter ici.

Yopmail est un service vous permettant d’obtenir immédiatement l’adresse de votre choix sur le domaine @yopmail.com, sans inscription… et sans mot de passe. L’intérêt ? Disposer rapidement d’une adresse jetable dans le but de ne pas avoir à laisser sa véritable adresse e-mail sur un site que l’on pense peu fiable. C’est également un bon moyen de réceptionner les fameuses demandes de confirmation de création de compte, juste le temps de l’inscription.

Zataz met en garde ses lecteurs sur le danger que représente ce service : sans mot de passe, il suffit d’entrer un identifiant au hasard pour accéder, peut-être, à divers courriers potentiellement dangereux (pouvant compromettre la sécurité de votre compte sur divers sites, notamment). C’est vrai. N’allez pas vous inscrire sur PayPal avec l’adresse delphine@yopmail.com, par exemple…

Cependant, ce que l’article oublie (mais est-ce vraiment un oubli ?), c’est qu’il existe une sécurité pour protéger son compte Yopmail : les « e-mail alias » . Pour en expliquer le fonctionnement, un exemple vaut mieux qu’une simple explication.

Delphine souhaite ouvrir une boîte sur Yopmail. En un clic, c’est fait.

En haut de l’image, se trouve une adresse : emma.harris-2l0zvoc@yopmail.com. Envoyez un courrier à cette adresse : il arrivera bien sur delphine@yopmail.com. Si vous consultez emma.harris-2l0zvoc@yopmail.com, vous n’y trouverez rien. De cette façon, si vous ne diffusez que l’adresse e-mail alias associée à votre compte Yopmail, personne ne pourra consulter votre boîte aux lettres, puisque personne ne connaît la véritable adresse e-mail associée à cet alias.

C’est une sécurité un peu particulière, mais qui a le mérite de protéger le véritable compte Yopmail, même si celui-ci peut être visité si jamais l’identifiant se révèle être simple. A ce titre, le compte delphine@yopmail.com doit être régulièrement visité. En revanche, un compte Yopmail de la forme delphine.talaron.94.mail.pub@yopmail.com a nettement moins de chances d’être visité par hasard.

Tout ceci ne remplace évidemment pas un véritable compte avec mot de passe. Mais l’article de Zataz, tel qu’il a été rédigé, laisse entendre que ce service n’offre aucune sécurité : c’est faux, il faut juste savoir se servir de leur système d’alias.

Attention, n’oubliez pas toutefois que Yopmail est un service d’e-mail jetable, c’est à dire non destiné à être votre adresse e-mail de tous les jours… et pour cause : ce service ne permet pas d’envoyer d’e-mails à des adresses d’un autre domaine que @yopmail.com.

En résumé :

• N’utilisez pas un identifiant trop simpliste
• Ne diffusez que l’alias associé à votre compte
• Pensez à supprimer les messages reçus (croix rouge présente dans les onglets)

Lorsque vous utilisez votre numéro de carte bancaire sur une machine reliée à Internet, vous vous exposez au risque qu’un keylogger soit installé sur cette machine et enregistre tout ce que vous pouvez saisir au clavier. Ce cas de figure n’est pas forcément rare, et il est également possible que si votre machine n’est pas suffisamment protégée, ce genre d’espion soit en action chez vous ! Il suffit finalement d’un gérant de cyber-café mal intentionné pour que les clients en fassent les frais…

Techniquement, un keylogger enregistre toutes les frappes au clavier. En guise d’exemple, voici ce que donne chez moi une commande sur le site marchand LDLC.com avec comme données (fictives, évidemment) :

- Une référence de produit : Appareil photo Canon EOS 450D
- Une identité: Delphine Talaron (nom du compte : d.talaron, mot de passe du compte : t4l4r0n)
- Un numéro de carte bancaire : 1234 4321 5678 8765
- Une date d’expiration : 09/10
- Un cryptogramme visuel : 123

www<Shift>.ldlc<Shift>.com
canon eos <Shift>450d
d.talaron<Tab>t<Shift>4l<Shift>4r<Shift>0n
<Shift>1234432156788765<Shift>Delphine<Shift>Talaron<Shift>123

On y retrouve l’adresse du site, le contenu de ma recherche, le nom du compte, son mot de passe, le numéro de carte bancaire, le nom du détenteur de la carte et le cryptogramme visuel. Bref, TOUT ce qu’il faut pour refaire un achat sur Internet… à l’exception de la date d’expiration. Pourquoi ? Tout simplement parce que LDLC.com demande la date d’expiration de la carte bancaire sous forme de menu déroulant : la sélection se fait à la souris et le résultat n’apparaît donc pas dans le log.

Il est donc possible que vos informations bancaires apparaissent dans un fichier de ce type, si elles ont toutes été enregistrées au clavier. Mais il est possible de faire enregistrer des valeurs incohérentes dans ce fichier, et ce, assez simplement…

Faisons un nouvel essai, avec quelques variations :

www<Shift>.ldlc<Shift>.com<Ret>
canon eos <Shift>450d<Ret>
d.talaron<Tab>t<Shift>0l<Shift>0r<Shift>0n44
<Shift>103443215678806527<Shift>Delphine<Shift>Talaron<Shift>312312

Qu’est-ce qui a changé ?

- Le mot de passe est devenu t0l0r0n44
- Le numéro de carte bancaire est devenu 1034 4321 5678 8065
- Deux chiffres suivent le numéro de carte bancaire : 2 et 7
- Le cryptogramme est devenu 312
- Trois chiffres suivent le cryptogramme : 3, 1 et 2

Pourtant, j’ai bel et bien entré t4l4r0n pour le mot de passe, 1234 4321 5678 8765 pour le numéro, et 123 pour le cryptogramme !

En réalité, j’ai d’abord saisi des données erronées. Exemple pour la carte bancaire :

1034 4321 5678 8065

J’ai ensuite corrigé les erreurs à la souris, en sélectionnant les mauvais chiffres et en les remplaçant par les bons :

1234 4321 5678 8765

Ainsi, dans le code de carte bancaire, les deux 0 glissés volontairement ont été remplacés par les bons chiffres, qui apparaissent juste après le code bancaire. Du coup, comme il s’agit d’une action à la souris, le log montre le mauvais numéro puis les valeurs ajoutées… sans que l’on puisse déterminer quels chiffres elles remplacent. Le nombre de possibilités est trop grand pour que ces informations soient exploitables. Grâce à ce petit jeu de passe-passe, le keylogger ne pourra pas enregistrer le numéro de carte bancaire correct. Il en est de même pour le mot de passe du compte et le cryptogramme.

En indiquant de mauvaises données et en les corrigeant ensuite à la souris, il est donc possible de tromper n’importe quel outil qui enregistrerait en direct toutes les frappes au clavier.

Attention, ne corrigez pas en utilisant les flèches du clavier : celles-ci sont enregistrées, et permettent de remonter jusqu’aux caractères à remplacer.