Des vidéos YouTube expliquent « Comment pirater des comptes Facebook »

Google héberge des tutoriels sur la manière de détourner des comptes Facebook en utilisant une méthode similaire à celle des pirates qui avaient eu accès aux données personnelles de 30 millions d’utilisateurs.

Les guides vidéo étape par étape pouvaient toujours être consultés sur YouTube, le site Web de streaming vidéo populaire de Google, plusieurs heures après la révélation du piratage par Facebook.

Les experts ont averti que de nombreux autres pirates informatiques, y compris des agences de renseignement étrangères, auraient pu consulter leurs comptes en permanence depuis juillet 2017.

Guy Rosen, vice-président de la gestion des produits de Facebook, a déclaré aux journalistes que 30 millions d’utilisateurs, dont le directeur général de Facebook, Mark Zuckerberg et sa directrice générale, Sheryl Sandberg, avaient été confirmés victimes de l’attaque, mais que 40 millions d’utilisateurs supplémentaires auraient pu être exposés.

Sur YouTube, les didacticiels, dont certains ont été supprimés par Google, expliquent comment pirater des profils Facebook en dérobant des « jetons d’accès », des clés numériques qui permettent aux utilisateurs de se connecter sans entrer leur mot de passe à chaque fois. Ils ont déjà été visionnés plusieurs milliers de fois.

Trouver le mot de passe des comptes Facebook
Exemple de vidéo sur YouTube pouvant pirater des comptes Facebook (lien du logiciel ici).

Un attaquant possédant le jeton d’accès d’un utilisateur peut utiliser son compte comme s’il s’agissait de cet utilisateur, qu’il s’agisse de publier son nom, de lire ses messages ou de consulter des archives de ce qu’il a « aimé » et partagé.

Nathaniel Gleicher, responsable de la politique de cyber-sécurité de Facebook, a déclaré au Telegraph qu’il était « au courant de certaines vidéos décrivant différents éléments de l’attaque » et que la société « examinait ces informations pour s’assurer que les comptes des personnes sont protégés ».

Les dirigeants de Facebook ont tenu deux conférences de presse sur la crise vendredi après avoir révélé qu’ils avaient fait appel au FBI lorsqu’il s’était rendu compte qu’il avait été victime d’une attaque «majeure».

Il a admis que les pirates pourraient également utiliser les jetons pour accéder à des applications et à des sites Web tiers permettant aux utilisateurs de se connecter via Facebook. Les comptes Instagram liés aux comptes Facebook ont également été touchés.

Le piratage a été découvert lorsque les employés de Facebook ont remarqué une forte augmentation du trafic le 16 septembre, représentant probablement une seule attaque d’un ou plusieurs adversaires.

Mais Beau Woods, un boursier en cybersécurité du Conseil de l’Atlantique, a déclaré qu’il était probable que la vulnérabilité avait déjà été identifiée par d’autres attaquants au cours des quatorze mois qui ont suivi son introduction.

« Je dirais que les 30 millions sont peut-être la partie émergée de l’iceberg », a-t-il déclaré au Telegraph. « Il n’est pas rare d’avoir plusieurs adversaires au fil du temps, dont la sophistication varie, et c’est simplement le plus maladroit qui alerte les gardes du palais. »

La connaissance des failles de sécurité, dit-il, s’étend très souvent – soit accidentellement « sur des bières », délibérément vendue ou simplement par le biais de plusieurs pirates informatiques découvrant de manière indépendante la même méthode.

Cet exploit aurait pu être utilisé par des criminels organisés ou des agences de renseignement d’Etat pour pirater des comptes spécifiques, tels que ceux appartenant à des politiciens ou à des chefs d’entreprise, bien avant que Facebook ne détecte des attaques moins subtiles.

Alternativement, a-t-il dit, le pic de trafic pourrait avoir été généré par un virus ou même par une attaque de moindre envergure qui a accidentellement provoqué une perte de contrôle.

D’autres ont évoqué des «hackers de la chambre à coucher» qui espéraient peut-être réclamer la prime de bug de Facebook – un paiement effectué pour récompenser ceux qui découvrent des défauts et les signalent par les canaux officiels.

Quelques jours avant que Facebook ne soit rendu public par le piratage, un amateur Taiwanais a annoncé qu’il reviendrait en direct pour pirater et supprimer le compte Facebook de Mark Zuckerberg.

Un porte-parole de Google a déclaré qu’il examinait attentivement le contenu signalé et qu’il supprimerait les vidéos encourageant les activités illégales de piratage de comptes ou de sites présentant des « intentions malveillantes ».

A lire aussi : Le piratage de compte Facebook n’a fait que 29 millions de victimes au final !

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage