En utilisant une petite technique de social engineering et un outil développé dans le cadre du livre « Je sais qui vous êtes », il est possible d’obtenir l’adresse du profil Facebook de n’importe quelle personne cliquant simplement sur un lien piégé. C’est incroyablement utile pour connaître l’identité de quelqu’un sur Internet sans qu’il ne vous la donne « consciemment ».
Cette technique vous servira à doxer une personne qui cherche à être anonyme sur Internet, ou bien à capturer le profil Facebook de toutes les personnes d’une communauté à partir du moment où elles visitent votre lien (honeypot). Revers de la médaille : cela vous montre à quel point vous n’êtes pas anonyme lorsque vous êtes connecté à votre compte Facebook pendant vos sessions de surf.
Stratégie générale de l’attaque
Le schéma suivant explique la stratégie que nous allons suivre.
Je le ré-explique en détaillant la marche à suivre :
- Vous créez une page fan Facebook totalement bidon (que vous supprimerez à la fin de toutes façons) ;
- Cliquez ici : https://www.facebook.com/pages/create/ ;
- Choisissez au hasard « personnalisé, auteur » ;
- Passez toutes les étapes suivantes, on s’en fiche (« ignorer ») ;
- Connectez-vous sur le Facebook Profil Stealer et créez votre lien piégé en indiquant l’URL de votre page Facebook fraîchement créée ;
- Partagez le lien piégé à votre victime, et attendez qu’il clique dessus ;
- Une fois le piège activé, rendez-vous sur votre page Facebook bidon puis :
- Regardez les notifications de votre page, vous devriez en avoir une nouvelle ;
- Cliquez sur « notifications » : le profil Facebook de votre cible apparaît clairement ;
Comment ça fonctionne ?
Le lien piégé que vous partagez avec votre cible contient un script de clickjacking qui lui fait liker votre page bidon sans qu’il ne s’en rende compte. À partir du moment où il se rend sur la page de capture, il like votre page. C’est ce qui vous permet de récupérer son identité complète.
Voila comment vous en protéger :
Il y a plusieurs manières de vous protéger de ce genre de script malicieux :
- Utiliser un bloqueur de « cochonneries », comme Ghostery. Cette petite extension de navigateur permet de bloquer tout un tas de mouchard pendant votre navigation (publicités, widgets de réseaux sociaux type « likebox » de Facebook, etc…). Ghostery peut supprimer tous les boutons « like », « tweet », « +1 » des pages web que vous visitez. Si vous êtes accroc aux réseaux sociaux, ça peut vous sembler tristounet. Si au contraire vous vous en fichez, foncez ! D’une part vous gagnerez en sécurité, d’autre part vous gagnerez en vitesse de chargement ;
- Bloquer Javascript dans votre navigateur. Javascript est un langage utilisé pour rendre les pages web plus dynamiques (rien à voir avec Java). Si vous le bloquez, vous éliminez un paquet de problèmes de sécurité. Malheureusement, Javascript est trèèèès utilisé et en le bloquant, vous restreindrez votre accès à beaucoup de sites web légitimes.
- Ne pas vous connecter à Facebook quand vous n’en avez pas besoin…. c’est un peu lourd mais si vous n’êtes pas accroc à Facebook, ça peut être une solution intéressante. Ou alors, utilisez un navigateur dédié à Facebook.
À n’en pas douter, la méthode 1 est la meilleure des 3. Elle est globalement intelligente (vous allez vous débarrasser d’un tas de mouchards publicitaires et sociaux) et elle est très adaptée au problème. Tout cela, sans causer de changements majeurs dans vos habitudes de surf.
Une vidéo détaillant l’utilisation du Facebook Profil Stealer sera publiée d’ici quelques temps.
9 Commentaires
rosounette
26 septembre 2015 à 18 h 32 minMerci beaucoup ! vos conseils sont vraiment précieux ! nous ne sommes jamais à l’abri de tomber sur un brouteur ! je suis sur le net depuis 2003 et là en 1 mois je suis tombee sur 2 et peut etre 3 !
Autant pour les 2 premiers j’ai eu des doutes tout de suite, autant pour le 3 ieme je ne sais que penser…… je suis quelqu’un de vulnerable, sensible, et j’ai ete sollicite par cet homme sur Facebook pour être son amie ! il s’appellerait bernard Merod ou Russo……il serait veuf apres 4 ans de mariage et papa d’un ptit garçon agé de 7 ans ! en 15 jours il se serait attaché à moi et aurait parle de moi a son fils…….puis il a disparu et lorsque j’essayais de lui ecrire un message on me disait : votre message ne pourra être délivré temporairement car l’expediteur necessite une verification !
puis jeudi en tapant son nom sur recherche d’amis sa page est reaparue…… les mêmes photos, sa profession ( peintre installe a son compte ) a Grenoble ! je lui ai vite envoye une invitation et ecris des messages ! le lendemain disparu à nouveau et il ne s’etait pas connecté ! et lorsque je veux ecrire un message on me dit : vous ne pouvez pas repondre a cette conversation !
Je ne sais que penser !
Merci beaucoup ! et encore merci pour votre livre !
Charles Cohle
28 septembre 2015 à 10 h 36 minAvec grand plaisir, je suis très honoré de savoir que mon travail a pu vous aider à vous protéger d’un escroc. Bon courage !
olivier
28 novembre 2015 à 7 h 53 minj’ai adoré votre livre ! Avez vous déjà prévu une date de sortie pour un prochain livre ? Je le trouve très intéressant et j’espère retrouver cet excellent contenue dans le prochain.
Charles Cohle
1 février 2016 à 15 h 02 minBonjour Olivier ! Merci beaucoup. Pas encore de date mais j’y songe. Je vous tiendrai au courant.
Okou Gnakouri
20 janvier 2016 à 15 h 55 minBonjour et merci pour votre article.
J’aimerais juste savoir où on peut accéder à Facebook Profil Stealer.
olive thierry
31 mai 2016 à 17 h 45 minbonsoir
Nous sommes harcelés depuis 19 mois par un site facebook. Insultes calomnies diffamations sont véhiculés en toutes liberté sans que l’on ne puisse agir sur ces administrateurs indécents.
Plusieurts plaintes ont étés déposées en gendarmerie ainsi que des correspondances auprés du procureur de la république de notre département en vain….nous recherchons des personnes compétentes afin d’identifier qui se cachent dérriere ce site afin de les assigner en référé en justice. merci pour votre réponse
Théo
27 juillet 2016 à 12 h 09 minbonjour, je ne saisi pas à quoi sert que la cible like la vraie fausse page créée dans le but d’obtenir son profil alors que la manoeuvre nécessite de lui envoyer le lien vers la page, ce que veut dire qu’on a déjà son profil facebook non?
sinon je suis en train de lire ton livre, très clair et intéressant!
Charles Cohle
3 octobre 2016 à 20 h 19 minThéo,
Non, on peut lui envoyer par Skype, par e-mail, par SMS, par pigeon voyageur… il y a d’autres canaux de discussion que Facebook 🙂
Bella
11 novembre 2017 à 0 h 56 minBonjour,
Je pense être dans une impasse… je cherche l’identité d’une personne dont je ne connais que les infos suivantes :
– prénom
– ville sur laquelle il habite
– nom et adresse de l’entreprise dans laquelle il travaille
– photos de cette personne
– pseudo snapchat
– pseudo instagram
– numéro de tel portable
– 2 pages likées sur Facebook, 3 autres pages qu’il suit mais pas forcément likées
– quelques centres d’intérêt
C’est quelqu’un qui s’est dit peu actif sur les réseaux sociaux. Je l’ai cherché sur Facebook via le numéro de téléphone et en faisant une recherche à partir des 2 pages likées connues, et rien. Sur un groupe privé associé à l’une des pages qu’il suit, j’ai consulté la liste des membres mais ne l’y ai pas trouvé. J’ai fait une recherche via annuaire inversé sur son numéro de tel portable, mais je n’ai trouvé que ce que je sais déjà : le nom de son opérateur… sinon il semble être en liste rouge.
Je ne l’ai pas trouvé via son poste/nom d’entreprise sur LinkedIn ni Facebook. Je sais quelles études supérieures il a faites, mais pas le nom de l’école. Les recherches via les photos sur Google Images et Tineye n’ont rien donné. Je l’ai cherché via un site où il était inscrit et dont je sais qu’une de ses photos provient (Adopteunmec), mais il ne semble plus y être inscrit du tout. Son compte Instagram est privé, je n’ai donc pas accès à la liste des personnes qui le suivent pour partir de là afin de faire une recherche…
C’est quelqu’un qui m’a ghostée du jour au lendemain et je pense qu’il a été malhonnête, raison pour laquelle je cherche à obtenir plus d’infos (pour moi le fait de se vouloir à ce point introuvable est quand même un brin suspect, d’ailleurs, alors que lui a eu connaissance et accès à plus d’informations me concernant).
Je suis à court d’idée, y a t’il une piste que j’aurais oubliée ?