Le clic sur le lien déclenche une méthode de la classe buddyList, nommée itemOnClick, et qui prend comme argument l’id de Marion notre mannequin du jour,
toujours avec un peu plus de curiosité, j’ai parcouru les autres classes en utilisant l’onglet DOM de firebug, et à ma surprise je découvre que je faisait partie de la liste, y avait un objet instancié qui m’appartenait, du coup je me suis dit tiens, si je remplace l’id de Marion par mon id, je devrais pouvoir « bugger » facebook au moins, je m’attendais à un message d’erreur ou une exception ou quelque chose du genre or une jolie petite fenêtre s’ouvre devant moi.

Bon comme vous le savez, le respect de la vie privée et facebook ne s’accordent pas en ce moment, je ne sais pas, mais je pense qu’il est possible de « recevoir/envoyer » en tant qu’une autre personne, si on s’amuse à changer les ids avec FireBug, je n’ai pas trouvé de technique qui marche, sinon j’aurais prévenu Facebook en premier, mais une chose est sûr c’est qu’il y a forcément un moyen que quelqu’un quelque part au bout du monde, trouvera dans très bientôt.

Bon, pour essayer le truc, il suffit d’executer la méthode. Dans la barre d’adresse de votre navigateur écrivez :
javascript: buddyList.itemOnClick(0000000);
Y a plein d’autres méthodes sympas, pas forcément vulnérables tel que getAvailability qui retourne 0 ou 1 selon l’état de la personne (en ligne ou pas). en gros c’est l’API window-break-through, je vais appeler cela comme ça vu qu’on entre litéralement par la fenêtre . =)

Bon bah à très bientôt, on a du mal en ce moment à maintenir le blog, plein de taf et de lignes à coder surtout, que peu de temps pour chippoter sur facebook et découvrir d’éventuelles failles… mais n’empêche on sera toujours là pour vous =)

Il a pu inclure le programme de commande en ligne ‘cmd’, Adobe Reader affiche un message d’avertissement, mais avec un peu de social-engineering, il existe un moyen d’ajouter un message personnalisé pour tromper l’utilisateur et le pousser a ignorer l’avertissement et continuer l’opération. Foxit Reader parcontre ne se rend compte de rien et exécute le programme sans le moindre petit soupçon.

Le chercheur en sécurité n’a pas voulu partager son exploit publiquement, pas encore selon lui, il a d’ailleurs contacté Adobe pour qu’ils règlent le problème, mais la majorité des utilisateurs ne mettent pas leur programme à jour, et ça risque de faire des victimes. surtout si un virus ou un trojan exploite cette vulnérabilité et l’utilise pour se propager.

La démonstration dans la video ci-dessous :

Google change de dialogue, et surtout de comportement vis à vis de la Chine, en fait, Google jusque là coopérait avec la censure chinoise, en censurant ses propres résultats, mais depuis quelques jours, la censure est levée, et les chinois peuvent désormais accéder aux résultats qui étaient tant censurés, Google a posté un article sur son blog officiel, disant que cette nouvelle politique est une réponse aux attaques menées par des pirates Chinois qui travaillent pour le gouvernement de Pékin.

Des ingénieurs de Google ont réussi à hacker un serveur Taïwanais qui selon eux est à l’origine des attaques Chinoises, et selon leur analyse, les Chinois ont accédé à plusieurs infrastructures de firmes Américaines tel que Adobe Systems, et Symantec, au total plus d’une dizaine de sociétés ont été hackés, Google ajoute que les chinois ont mis la main sur des projets confidentielles dont la propriété  intellectuelle revient à Google, et du coup « THEY GOT SO DAMN MAD ! » qu’ils ont renoncé à la censure.

Que va-t-il se passer ensuite ? La Chine bloquera t-elle l’accès à Google ? ce qui est sûr c’est que des tensions fortes sont actuellement entre les USA et l’empire Chinoise, l’administration Obama, ne sait plus quoi faire non plus, mais dit qu’elle va apporter une réponse au sujet dans les jours qui viennent, à noter que la maison blanche à montrer son soutien à la firme Californienne.

Selon un rapport, l’attaque serait baptisé « Operation Aurora » et aurait utilisé une nouvelle faille de IE selon McAfee,  actuellement les ingénieurs de Google et de Microsoft travaillent ensemble pour réparer la faille.

Serait-elle une annonce du début de la première CWW ? Cyber World War =)

Une affaire à suivre …

On vient de fermer plus de 1200 sites de commerce en ligne (e-commerce) en Grande Bretagne, des sites qui ont collecté des millions d’euros, Les sites proposaient des produits moins chers. On s’emparait des cartes de crédit et les informations des clients pour les utiliser dans des différents usages personnels. Scotland Yard a lancé cette campagne pour arrêter ces escrocs mais comme la plupart des sites étaient hébergés en Asie, chercher la trace des criminels n’était pas si facile que ça.

On estime que les acheteurs britanniques ont perdu des millions, mais voir le nombre des ces sites c’est bien encore plus des millions qui sont sauvé.

Comment lutter contre ces escroqueries:

Savoir de qui vous achetez

Être prudent en ce qui concerne la méthode de paiement

Protéger vos informations personnelles

Protéger votre PC contre les spywares et autres programmes qui récoltent vos informations persos.

Toujours être prudent d’offres reçu par email

Pas mal d’article sur le net ont comme sujet « Hackers Attack UK Climate Research Center » , en tout cas la crédibilité de l’information reste à vérifier !

J’ai choisi d’en parler dans ma première participation car je trouve qu’il serait injuste de l’ignorer, sur ce site dédié pour la sécurité du piratage et les news qui touchent de près ou de loin ce domaine … pour commencer qui est Kevin Mitnick ?

Kevin Mitnik

Cette image et pise lors de son arrestation à Raleigh,NY.

Un programmeur âgé de 31 ans qui avait toujours le choix de changer son chemin et de s’engager dans un travail, mais qui a toujours été séduit par le coté obscure de l’informatique.

A la fin de l’année 1970 Kevin avait attient son âge d’adolescent, a  l’époque  on venait de sortir le Personal computer PC,  comme premier exploit il aurait détourné le service des renseignements téléphoniques Américain.

Et cela lui a donné l’opportunité de connaître tout sur la vie des gens, les riches et les gens qui détiennent les grandes positions dans la société Américaine, ou tout simplement ses propres ennemis directs.

On lui attribue aussi l’une des premières passes à l’encontre du Pentagone, il y retournera par la suite une bonne centaine de fois.

L’un des jeux du CONDOR était aussi de se balader dans les systèmes téléphoniques américains pour y déconnecter le téléphone de ses ennemis ou pour « simplement » changer leur nom d’abonné en James Bond. Lors de sa cavale, il s’est attribué des numéros de téléphone, un bon millier, dont les trois derniers chiffres finissaient par 007. Pour finir dans ce qui est connu, Mitnick aurait déjoué les barrières du laboratoire de mise à feu de la NASA à Pasadena ; du réseau de l’Université de Leeds en Angleterre ; de l’unité centrale de la défense aérienne américaine, dans le Colorado et surtout le système de localisation d’appels du FBI.

Et c’est ici que la traque commence, le Fédéral Bureau of Investigation n’a pas apprécié d’être visité de la sorte. Pour vous donner une idée, un visiteur qui accède dans un immeuble du FBI, est fouillé, aucun document ne peut ni rentrer, ni sortir, même pas un rouleau de papier toilette, alors imaginez un mec qui se promène dans toutes les machines et diffuse en libre accès les documents qu’il a piqué. Cette cavale durait depuis trois ans, jusqu’à ce jour de décembre 1994, ou, par défit, il s’attaqua aux ordinateurs de Tsutomu Shimomura. Le CONDOR souhaita faire un tour à cet ancien ami passé à l’ennemi.

Tsutomu Shimomura est l’autre Hacker de l’histoire. Cet américain âgé de 30 ans a sauté le mur de l’interdit en proposant ses services dans la sécurité informatique. Il a développé toute une gamme d’outils capables de détourner les systèmes téléphoniques cellulaires, mais aussi toute une série de programmes permettant de piéger à coup sur n’importe quel pirate. Il s’est taillé une excellente réputation. Le FBI, l’Us Air Force ou encore l’Agence de Sécurité Nationale, le NSA, font partie de ses clients.

Plus le système est protégé plus on s’amuse. Alors jouons…

Le 26 décembre, Shimomura est chez lui, il se prépare à partir en vacances, quand il reçoit un appel de ses collègues du Centre de calcul de San Diego. Quelqu’un s’est introduit la nuit précédente dans les ordinateurs installés dans sa maison de vacances, à Del Mar, et a « volé » des centaines de documents et de logiciels. Le hacker a exploité une faille notoire dans l’architecture du réseau Internet, faisant croire à l’ordinateur de Tsutomu Shimomura que le message venait d’une source autorisée- en l’occurrence, un ordinateur de la Loyola University de Chicago utilisé comme « passerelle ». Habile, certes, mais le pirate ne s’est toutefois pas aperçu que Shimomura a programmé des firewalls d’un genre particulier, ces derniers envoient toutes les heures une copie de leur index à un autre ordinateur – ce qui a produit une alerte automatique. Un mois plus tard, Shimomura reçoit un deuxième coup de fil. L’opérateur d’un service commercial d’accès à Internet, le W.e.l.l. (« Whole Earth Lectronic Link ») de Sausalito, l’informe que les documents volés à Del Mar ont été déposés dans son ordinateur par un inconnu. Dans ces documents, entre autres, les feuilles de salaires de Shimamoura, des contrats et surtout tous ses mots de passe.

Tsutomu Shimomura et une petite équipe du Centre de calcul s’installent alors à Sausalito, branchent une série de portables sur le réseau interne du W.e.l.l., mettent en place un système de surveillance, et commencent à observer l’activité du pirate – Dorénavant chaque frappes de ce dernier s’affichent sur leurs écrans. Le 17 janvier, ils l’observent alors qu’il infiltre le système de Motorola, il accède à l’ordinateur censé protéger le réseau interne et dérobe, le logiciel de sécurité. Il semblerait, mais personne ne pourra le prouver, que c’est à partir de cette passe, que le FBI aura accès au décryptage des communications entre mobiles.

Quelques jours plus tard, Tsutomu et ses associés détectent le vol de 20 000 numéros de cartes de crédit appartenant aux clients de Netcom, un des principaux fournisseurs d’accès à Internet, basé à San José. Ils s’y déplacent et recommencent la traque. Mitnick, connaît son affaire, ses appels passent par trois villes : Denver, Minneapolis, et Raleigh. Ce n’est qu’en comparant longuement les registres des compagnies téléphoniques à ceux de Netcom que Shimomura et ses collègues acquièrent la conviction que le pirate se trouve à Raleigh. Le hacker utilise un téléphone cellulaire pour se connecter à plusieurs points d’accès de Netcom afin d’éviter d’être localisé.

A Raleigh, les appels semblent entrer par un central de la compagnie téléphonique GTE, dont les listings en renvoient toutefois l’origine chez une autre compagnie : SPRINT. Grâce à une brillante manipulation des logiciels du réseau, GTE pensait que les appels venaient de Sprint, et vice versa. Aucune des deux compagnies n’avaient donc de données sur l’utilisateur du téléphone – ni ne lui a jamais envoyé de facture d’ailleurs ! Le numéro identifié, pendant deux jours Shimomura parcours les rues de Raleigh avec une antenne de détection, et localise enfin l’appartement où habite David Mitnick. Selon d’autre dire, c’est ici qu’apparaît l’une des premières utilisations du système TEMPEST.

A deux heures du matin, le 15 février 1995, le FBI et Shimomura investissent le nid du Condor. « Salut Tsutomu! Félicitations », aurait dit MITNICK. Ceux qui l’ont rencontré ou ont étudié ses agissements le décrivent comme un jeune homme d’une intelligence limitée, spécialisée, très réservé et méfiant. Un perdant doué d’un talent extraordinaire sur ordinateur, le seul endroit où il excellait. Les gens avaient peur de lui, comme d’un magicien un peu fou. Non sans raison : les talents techniques de Mitnick avaient de quoi faire trembler la planète. Mais jamais il n’a essayé de tirer un profit de ce qu’il savait, ni effacé ou altéré les mémoires informatiques qu’il parvenait à percer. Il n’a d’ailleurs jamais utilisé les numéros de cartes de crédit qu’il ait eu en sa possession. Il faisait ça pour la beauté du geste, pour défier ceux qui sont en charge de la sécurité informatique.  » Kévin se moquait des grosses entreprises comme du FBI, et c’est pour ça qu’il a fini par représenter une menace  » : a déclaré son ex-femme.  » Il leur a prouvé qu’ils étaient vulnérables, et eux ne voulaient surtout pas que ça se sache.  »

Le condor en cage, le doute plane toujours…

Kévin Mitnick a écopé d’une peine de 35 ans de prison. Il ne peut téléphoner qu’à son avocat, sa mère et sa grand-mère. Pourquoi une telle méfiance ? On craint qu’il amorce un virus, en appelant un autre numéro quelque part dans le monde. Un numéro qui enclencherait une bombe informatique préprogrammée.

En décembre 1997, les amis du Condor, le groupe Pants/Hagis ont menacé les systèmes informatiques de la planète d’une infection virale de leur cru. Ils demandaient la libération du hacker emprisonné à Los Angeles. Le message d’avertissement est apparu très brièvement sur le moteur de recherche Yahoo, ainsi que quelques semaines plus tard, sur le site de l’Unicef, de l’Unesco, du F.B.I. et de l’U.S. air force.

Et son arrestation a aussi conduit à une vague de cyber manifestations orchestrées par le site anglais Free Kevin Mitnick.

Mitnick est désormais consultant en sécurité informatique et est le co-fondateur de la société Defensive Thinking. En 2002, il a publié un livre traitant de l’ingénierie sociale et basé sur ses expériences personnelles. Puis, fort du succès du premier livre, il en a publié un autre où il rapporte et commente des intrusions dans des réseaux informatiques effectuées à la fois par des inconnus ou des groupes de hackers célèbres, tel L0pht.