Une faille Self-XSS à l'origine de l'invasion pornographique sur Facebook
Les spams pornographiques qui ont inondé Facebook, il y a quelques jours ne seraient pas dus au collectif Anonymous, a estimé un spécialiste de la sécurité. Mardi dernier, le réseau social a confirmé que, suite à « une attaque coordonnée de spams », des images violentes ou à caractère sexuel explicite avaient envahi les pages de ses membres.
Certains ont alors soupçonné le groupe d'activistes Anonymous, connu pour mener des attaques distribuées par déni de service (DdoS) contre des firmes comme Visa ou MasterCard, d'être derrière ces attaques.
Selon le fournisseur de solutions de sécurité BitDefender, en juillet dernier, Les Anonymous avaient conçu un ver classique sur Facebook, baptisé «Virus Fawkes ». Les pirates avaient promis de l'utiliser le 5 novembre 2011 pour célébrer la journée Guy Fawkes, avant de décider de faire marche arrière.
Des intrusions ordinaires pour BidDefender
La découverte de Fawkes par BitDefender - annoncée le 12 novembre, quelques jours après l'attaque pornographique de Facebook - ont incité certains observateurs, parmi lesquels Computerworld, à spéculer que ce malware « Anonymous » était la cause de cette invasion d'images. « Cette attaque ressemble à d'autres qui ont visé Facebook », a déclaré George Petre, chercheur chez BitDefender, dans une réponse par courriel aux questions concernant ces attaques pornographiques contre le célèbre réseau social.
« Ce sont des intrusions ordinaires et nous pensons que les Anonymous auraient utilisé quelque chose de plus sophistiqué », a ajouté le chercheur. « Nous estimons que le virus Fawkes, qui utilise des malwares, s'appuie sur des mécanismes plus complexes ».
Facebook a déclaré que les attaques avaient été menées au travers d'une faille self-XSS dans le navigateur. Cette faille a été utilisée par d'autres chercheurs dans le cadre d'un stratagème où des spams incitent les internautes à copier et à coller du code JavaScript dans la barre d'adresse de leur navigateur. Le script est cependant malveillant. Il exploite un bug qui pirate les comptes et poste des images sur le fils de news, avant de les propager à d'autres membres.
La même tactique avait été utilisée en mai dernier contre des membres de Facebook quand on a cherché à appâter les internautes avec une vidéo qui montrant la mort d'Oussama Ben Laden.
Une fonction destinée à bloquer les attaques self-XSS
Juste après ces attaques Facebook avait assuré que ses fonctions de sécurité avaient été améliorées, en particulier une, conçue pour contrecarrer certaines attaques self-XSS. « Lorsque nos systèmes détecteront que quelqu'un a collé un code malveillant dans la barre d'adresse, nous nous ferons un devoir de vérifier que la personne voulait vraiment faire cela, tout en l'avertissant que ce n'est pas une bonne idée de le faire », a déclaré Facebook. « Nous travaillons également avec les principaux fournisseurs de navigateurs pour résoudre le problème sous-jacent qui permet aux spammeurs de faire cela. »
Hier, Facebook a reconnu que le caractère pornographique des attaques de cross scripting avait franchi ces défenses. « Nous avons depuis peu adapté nos systèmes aux variantes self-XSS du type de celles de Ben Laden, mais cette attaque utilise un vecteur de mails précédemment inconnu», a déclaré un porte-parole de Facebook dans un courriel posté mercredi. «Depuis, nos systèmes ont été améliorés afin de mieux détecter et de bloquer cette variante. »
Une propagation qui complique le traçage
Facebook a également précisé qu'il avait identifié les personnes responsables de ces intrusions et qu'il travaillait avec ses services juridiques pour assurer un suivi approprié des conséquences.
Alors que BitDefender a contredit le fait qu'Anonymous soit à l'origine de ces attaques, d'autres chercheurs ont indiqué qu'ils ignoraient toujours comment les hackers avaient réussi à duper les utilisateurs tout en créant ces spams. «Nous ne disposons pas encore d'informations solides ni de captures d'écran », ont reconnu de leur côté des chercheurs de l'éditeur de solutions de sécurité Commtouch. D'après eux, en raison de la propagation de ces images, il est difficile de déterminer l'origine de ces attaques. Les internautes peuvent empêcher les attaques self-XSS en refusant de copier et de coller du JavaScript - ou toute autre chose - dans les barres d'adresses de leur navigateur, ont conseillé ces experts.
