Ma Publicité Gratuite !

Nous allons faire parler de vous !

 
  • Facebook
  • Twitter
  • Youtube
Forum de discussions, d'informations et d'actualité 22 Novembre 2024 à 00:41:13 *
Bienvenue, Invité. Veuillez vous connecter ou vous inscrire.


Connexion avec identifiant et mot de passe
Nouvelles:
Bienvenue dans le forum de discussion de la communauté de Troc et d'échanges francophone
 
 
Accueil Aide Rechercher
Pages: [1]
Imprimer
Auteur Fil de discussion: twitter, facebook,google même combat pas de confidentialité  (Lu 5431 fois)
masta
aussi méchant est il pourquoi ?
Modérateur Global
Membre Héroïque
*****
Messages: 642


RESPECT EXISTENCE OR EXPECT RESISTANCE


Voir le profil WWW
« le: 28 Décembre 2009 à 04:32:12 »

Exclusif : Vous vous souvenez de cette information ? Vos données Twitter et Facebook sont disponibles sur Google, même effacées. Les failles, elles, disparaissent sans rien dire. (Par Cybstups)

Vous ne le savez peut être pas encore mais c'est fait, vos informations Facebook et Twitter sont relayées par Google et Bing et affichées directement dans les recherches des internautes. Les fonctionnalités ne sont pas encore disponibles pour les français, par conséquent, vous devez utiliser Google USA ainsi que Bing USA. Il était déjà possible d'effectuer des recherches sur Twitter sans avoir de comptes: http://twitter.com/search?q=zataz. Maintenant, les internautes vont pouvoir partager votre vie directement dans leurs recherches: http://www.google.com/search?hl=en&tbo=s&tbs=mbl:1,mbl_sv:0&q=zataz et ausssi, en temps réel : http://www.google.com/search?hl=en&q=zataz&tbs=mbl:1&tbo=u&filter=0 Avec ou sans les mises à jour automatiques des résultats : javascript:google.rt.resume() ou javascript:google.rt.pause()

A noter que Google ne respecte pas toutes les règles de confidentialités proposées par Twitter et Facebook. La démonstration la plus simple vise à créer un message sur Twitter puis de l'effacer. Google va s'empresser de stocker en cache l'information pour une durée indéterminée. Les mêmes fonctions sont disponibles chez Bing http://www.bing.com/twitter?q=zataz

Accentuation de la protection ?

Facebook a décidé récemment d'accentuer la sécurité en permettant aux utilisateurs de personnaliser les "fuites d'informations" mais quasi immédiatement celui-ci a été vivement critiqué car le réglage par défaut est ultra permissif.

La conclusion est la suivante, mesurez dans toutes circonstances l'ensemble de vos paroles, il faut bien avoir en tête qu'elles resteront "gravées" sur Internet. Même le plus paranoïaque n'est pas à l'abri d'un incident bénin (ex: un tiers que vous connaissez qui saisi n'importe quoi sur votre ordinateur l'espace d'un instant) ; le détournement volontaire (l'accès physique à votre ordinateur, une connaissance, votre entourage) ; ou encore un tiers extérieur en utilisant des services d'individus plus compétents (Hacks As A Service : le cout d'un piratage sur un particulier n'étant pas excessif). Concernant l'affichage des messages, il faut bien comprendre une chose, c'est que les liens ne sont pas directs; Google se réserve le droit de les ré-écrire et par la même occasion de collecter des données ( Qui ? Quoi ? Où ? Quand ? Comment ? Pourquoi ? ) et ainsi alimenter d'immenses bases déjà bien fournies. Avec les fonctionnalités avancées de ces moteurs et l'utilisation des API, ... il est possible de construire des outils redoutables permettant de tracer, collecter, ... mais aussi d'atteindre directement les internautes et les mener sur des attaques sophistiquées: c'est une aubaine pour les cybercriminels professionnels !

Ce n'est que le début et comme il n'est pas possible de stopper l'évolution, il est grand temps de changer nos comportements.

Facebook corrige vite... mais sans rien dire
Mi-octobre 2009, le pseudo "599eme Man", membre du groupe Alternativ Testing, publiait le billet "Facebook URL String Evasion Doublé" sur une technique d'injection de code HTML par le biais d'une variable mal filtrée sur une application. La vulnérabilité jugée critique a été corrigée bien que partiellement comme le souligne certaines personnes par le biais du blog de Korben puis relancé par ZATAZ, il y a quelques jours, sur le sujet Redirection non sécurisée pour Facebook.

C'est en lisant le commentaire ironique d'Ar-S sur le sujet Le Père Noël est une ordure sur Facebook que j'ai réalisé la popularité de cette astuce qui, rappelons le, offre des possibilités aux hameçonneurs, bien que limitées. N'ayant jamais eu la nécessite d'exposer ma vie sur Facebook ou ailleurs, j'ai alors questionné des personnes (12) ayant un usage lambda de leur ordinateur pour savoir s'ils pensaient pouvoir se faire duper par ce genre de stratagème.

Outre les "cliqueurs" maladifs, les utilisateurs ne font pas confiance aux liens inconnus, même émanant de leurs amis (ce qui est faux, d'après des statistiques récentes sur le sujet), et encore moins ceux qui font appel à des applications tiers, mais ces internautes admettent qu'avec le flot d'informations à traiter dans une journée, le tout couplé à la fatigue, ils pourraient éventuellement ... tomber dans ce type de piège.

Et comme lobotomisés d'en conclure expressément que de toute façon, ça n'arrive qu'aux autres... A la question, pensez-vous que d'autres faiblesses de ce type sont possibles directement sur le site officiel, ils ont répondus: NON. Et pourquoi ? Et bien, vu le nombre d'utilisateurs, d'après eux, ça se saurait déjà !

Même avec l'habitude de ce genre de réactions, ça vous laisse toujours perplexe. Je décide d'aller faire un tour sur https://www.facebook.com pour observer les structures des pages. Peut être le fait d'avoir lu quelques minutes avant un article publié sur seclists, en full-disclosure, "XSS vulnerabilities in 8 millions flash files", allez savoir si c'est la vue du "flash.swf?url=" qui m'a fait "tilter" mais j'ai immédiatement focalisé sur la variable "uri" de la page "language_dialog.php".

Cette page permet à l'utilisateur de sélectionner l'interface du portail en fonction de sa localité. La variable "uri" est ré-utilisée dans la génération des liens mais indirectement car la valeur est contrôlée par une expression régulière, il suffisait de trouver la syntaxe exacte permettant de donner l'illusion à l'utilisateur de se connecter sur le Facebook de son pays. La faiblesse est exploitable de cette manière:
https://www.facebook.com/ajax/intl/language_dialog.php?uri=http%3A%2F%2F.facebcck.com.

Les écritures de nos liens piégés sont alors sous cette forme. <a onclick='intl_set_cookie_locale("ru_RU", "http://ru-ru.facebcck.com/", "LOGGED_OUT"); return false;' title="Russian" href="http://ru-ru.facebook.com/">Русский</a>. Le pirate va maintenant se créer un virtualhost qui va accepter toutes les requêtes d'host. *.facebcck.com 300 IN A 91.121.85.146 (wildcard DNS). Ainsi, ru-ru.facebcck.com, uk-ua.facebcck.com, etc... pointeront sur 91.121.85.146 (zataz.com). L'hameçonneur met en place ses copies parfaites du site en fonction des langues qui seront sélectionnées.

Aux tests, le lien proposé était en "https://www.facebook.com", autant dire que tout le monde (sauf un) est tombé dans le piège. Quelques heures après, Facebook a corrigé silencieusement le problème, avant même d'avoir le temps d'envoyer l'email de notification. Un grand bravo à l'équipe sécurité de Facebook (Greets Amok) qui visiblement scrute à la volée les anomalies des requêtes sur son portail.
 


* confidenciel.jpg (3.05 Ko, 116x87 - vu 1037 fois.)
Journalisée

Word Sound Power
Pages: [1]
Imprimer
 

Sujets en rapport
Titre Démarré par Réponses Vues Dernier message
Christiano Ronaldo N°1 sur Facebook
Sport
Tony 0 4565 Dernier message 06 Janvier 2010 à 15:31:34
par Tony
GOOGLE quitte la chine
Web et Informatique
kem 2 7027 Dernier message 21 Janvier 2010 à 09:46:35
par masta
Haïti : les même causes auront les même effets !!!
Discussion libre
kem 0 4895 Dernier message 17 Janvier 2010 à 20:24:02
par kem
Bill Gates fait un gros buzz en s'inscrivant sur twitter
Web et Informatique
kem 1 8476 Dernier message 20 Janvier 2010 à 20:14:28
par shorty
facebook continue son expansion et ouvre un bureau en Inde
Web et Informatique
masta 0 4750 Dernier message 16 Mars 2010 à 08:52:47
par masta
Google menace de stopper son activité en Chine - Google.cn est fermé
Web et Informatique
mahel 0 5279 Dernier message 22 Mars 2010 à 21:35:28
par mahel
WolframAlpha le moteur de recherche qui vient titiller Google sur son territoire
Web et Informatique
masta 0 5011 Dernier message 25 Mars 2010 à 23:58:37
par masta
Les rencontres organisées via facebook interdites à Annecy
Société
mahel 0 5015 Dernier message 13 Mai 2010 à 15:02:40
par mahel
Le co-fondateur de Facebook ferait-il partie des illuminatis ?
Web et Informatique
shorty 0 5099 Dernier message 19 Septembre 2010 à 19:28:03
par shorty
Facebook: bientôt la fin d'un règne?
Web et Informatique
Onnyxe 0 5425 Dernier message 08 Janvier 2011 à 18:44:58
par Onnyxe
La confidentialité sur internet : une Utopie !
Web et Informatique
Djehuty 0 5008 Dernier message 28 Juillet 2011 à 18:48:05
par Djehuty
condamnés a 4 ans pour incitation aux émeutes sur facebook
Discussion libre
masta 0 4932 Dernier message 17 Août 2011 à 16:15:16
par masta
Twitter et dailymotion diponible depuis la freebox rèvolution
Web et Informatique
masta 0 5037 Dernier message 22 Novembre 2011 à 23:25:21
par masta
Facebook en bourse , un millier de salariés se préparent à devenir millionnaires
Web et Informatique
masta 0 4297 Dernier message 03 Février 2012 à 00:28:21
par masta
BOOBA VS ROHFF, bientot le combat, LAFOUINE tiendra la pancarte entre les rounds
Musique
masta 0 4422 Dernier message 06 Décembre 2012 à 20:36:01
par masta
Shabeena's Quest -le combat de Shabeena pour la scolarisation des pakistanaises
Cinéma
masta 0 4215 Dernier message 18 Décembre 2012 à 23:07:12
par masta
Twitter vous propose de télécharger tous vos tweets et votre Timeline dés 2013
Web et Informatique
masta 0 4339 Dernier message 23 Décembre 2012 à 11:50:10
par masta
PINTEREST , le réseau social qui explose plus vite que Facebook ou Twitter
Web et Informatique
masta 0 4329 Dernier message 20 Janvier 2013 à 15:48:32
par masta
250 000 comptes Twitter piratés , le revers de la médaille du succés commercial
Web et Informatique
masta 0 4149 Dernier message 03 Février 2013 à 15:19:23
par masta
Twitter et American express mettent au point un système de payement par tweet !!
Web et Informatique
masta 0 4091 Dernier message 21 Février 2013 à 12:22:42
par masta
Seulement 5% des Français sont actifs sur Twitter
Web et Informatique
Tony 0 4650 Dernier message 27 Avril 2013 à 23:07:01
par Tony
Facebook en panne - Facebook down, use tradezone.fr !
Web et Informatique
G-unit_soldier 0 3750 Dernier message 18 Avril 2014 à 14:45:14
par G-unit_soldier
Les logiciels de reconnaissance du visage vont nous ficher même au supermarché
Web et Informatique
Crashtest777 2 5364 Dernier message 11 Février 2015 à 04:00:56
par G-unit_soldier
Imprimez une réplique réduite de vous-même grâce à Shapify
Web et Informatique
Crashtest777 0 3343 Dernier message 06 Mai 2015 à 04:47:09
par Crashtest777
Facebook développe une appli pour tenter de vous faire oublier Twitter
Web et Informatique
Tony 0 4939 Dernier message 12 Août 2015 à 18:12:04
par Tony
Aller à:  

Powered by SMF 1.1.15 | SMF © 2006-2008, Simple Machines