Hacker un compte Facebook : cookie stealing

Bonjour à tous, aujourd'hui dans la catégorie "je hack mon voisin", je souhaiterais prendre le contrôle de son compte Facebook !

T'es quand même pas en train de nous dire que tu vas nous apprendre à hacker un compte Facebook quand même ?

Eh bien si. Le but n'étant pas de faire de vous des hackers malhonnêtes mais bien de vous faire comprendre certains mécanismes et surtout de vous montrer comment vous en prémunir.

Ce tutoriel peut porter à controverse mais il ne s'agit pas d'une incitation à aller hacker votre voisin de palier. Le but est clairement de vous faire comprendre comment certains hackers malhonnêtes peuvent prendre le contrôle d'un compte Facebook et comment vous en prémunir. Fire-DIY décline toute responsabilité quant à l'utilisation de ce tutoriel par des personnes malintensionnées, rappelez-vous la devise de la maison : vous faites donc vous êtes responsable. Pour plus d'informations, je vous renvoie au disclaimer.

Maintenant que les choses sont claires, nous allons pouvoir nous y mettre.

Tout d'abord, de quoi vous allez avoir besoin :

1. Introduction

Tout d'abord, essayons de comprendre ce que nous allons faire et surtout comment ça marche.

De manière générale, lorsqu'une machine veut communiquer avec une autre sur un réseau non-commuté, elle envoie ses messages sur le réseau à l'ensemble des machines (on appel ça un broadcast) et normalement, seule la machine destinataire intercepte le message alors que les autres l'ignorent.
En utilisant un analyseur de paquets (aussi appelé sniffer), il devient possible "d'écouter" le traffic et donc de lire et enregistrer les données transitant sur le réseau.

Lorsque vous vous connectez sur une page utilisant un protocole de communcation non chiffré (HTTP par exemple), les données de connexion transitent en clair sur le réseau, c'est à dire qu'elles sont directement lisibles et donc exploitables . En utilisant un sniffer et quelques options de filtrages, on focalise l'écoute sur ce type de paquets non-chiffrés afin de les lire et de les enregistrer.

Dans le cas de Facebook (mais également Youtube, Gmail et j'en passe), lorsque vous vous y connectez, les données de connexions sont enregistrées dans un Cookie. Toute l'astuce conciste ici à lire (et enregistrer) ces fameuses données qui sont envoyées à la victime lorsqu'elle se connecte et de les "injecter" dans votre navigateur afin de vous faire passer pour cette personne. Le site va constater que vous possédez les données qu'il vient tout juste d'écrire, il va donc penser que vous êtes la personne qui vient de se connecter et donc vous autoriser à accéder au contenu protégé, à savoir : le compte Facebook de la victime.

La technique dite de sniffing consiste donc à écouter le réseau en continu et de capturer les paquets intéressants en usant de filtres permettant de focaliser l'écoute sur certains types de paquets seulement, comme par exemple ceux issues de protocoles de communication non chiffrés comme HTTP, FTP et Telnet.

Pour résumer, voici ce que nous allons faire :

  1. Ecouter le réseau à l'aide d'un sniffer, ici Wireshark
  2. Caturer les COOKIES d'authentification
  3. Injecter les COOKIE(S) dans notre navigateur afin de se faire passer pour la victime

Cette technique de hack porte un nom, le "cookie stealing".

Tout est bien clair ? Alors place à la pratique !

2. La pratique

Pour commencer, ajoutez Greasemonkey à vos add-on Firefox. Ensuite, ajoutez le script Cookie injector à Greasemonkey en cliquant sur "Installer" sur la page dudit script. Nous sommes maintenant parés pour commencer le sniffing.

Lancez Wireshark. Nous allons commencer par définir l'interface sur laquelle nous allons travailler, pour cela allez dans Capture → Interfaces ou bien faites Ctrl + I. La liste de vos interfaces apparaît alors. Pour démarrer la capture, il suffit de cliquer sur "Start" en face de l'interface de votre choix.

Liste des interfaces

Dans mon cas, j'ai utilisé ma carte réseau ethernet. Si vous êtes en wifi, choisissez l'interface wifi correspondante.

Maintenant, nous allons focaliser notre écoute sur certains types de paquets seulement. Pour cela, dans le champs "Filter", renseignez ceci :


http.cookie contains datr

et validez par entrée. Il ne reste plus qu'à attendre que votre victime se connecte à son compte Facebook. Lorsque c'est le cas, vous allez voir des informations apparaître dans la fenêtre principale de Wireshark. Les paquets qui nous intéressent se présentent de la sorte : GET ... HTTP/1.1

Liste des captures

Maintenant que nous avons repéré ledit paquet, nous allons récupérer le cookie tant convoité. Pour cela, cliquez gauche dessus pour le selectionner. Vous allez alors voir tout un tas d'informations apparaître dans le fenêtre inférieur de Wireshark. Développez "Hypertext Transfer Protocol" en cliquant sur le +. Là, repérérez une ligne contenant le mot-clé "Cookie".

Le cookie tant convoité

Maintenant que vous l'avez localisé, faire un clic droit dessus, Copy → Bytes → Printable Text Only.

Eh qu'est-ce qu'on vient de faire exactement ?

Nous avons tout simplement copié dans le presse papier le contenu du cookie sous forme de texte. Pour les curieux, voilà à quoi ça ressemble :


Cookie: datr=Q1B9UYx_E9PYj2RWWtivUaCf; fr=0olpUI1HP6Ov77v9x.AWUhag7n13Sv-9xSJl5HJqUXeCE.BRfVBV.lr.AWWhhm6n; lu=RgJ3vtrUDnujopFMkj3y5jwg; locale=fr_FR; x-referer=https%3A%2F%2Fwww.facebook.com%2Findex.php%3Fstype%3Dlo%26jlou%3DAfdNjMy5KGpzL-_oLvRNc7T8q01twwmjYUbwPgBlmiIQbCK_LRsT0UkN33MxrN_tyP2GeQWWO1c7esEaOO3s27SU7DdQkgPa7mX-zQERxmY3VA%26smuh%3D31489%26lh%3DAc_LKzH1NabHGblz%23%2Findex.php%3Fstype%3Dlo%26jlou%3DAfdNjMy5KGpzL-_oLvRNc7T8q01twwmjYUbwPgBlmiIQbCK_LRsT0UkN33MxrN_tyP2GeQWWO1c7esEaOO3s27SU7DdQkgPa7mX-zQERxmY3VA%26smuh%3D31489%26lh%3DAc_LKzH1NabHGblz; c_user=100005803300907; xs=61%3AeQS2ebXUIT1z4Q%3A0%3A1367170251

Intéressant n'est-ce pas ^^ ?
Maintenant, il ne nous reste plus qu'à injecter ce cookie dans notre navigateur pour nous faire passer pour notre victime. Pour cela, lancez Firefox, allez sur la page de login Facebook, et faites Alt + C pour ouvrir la fenêtre d'injection de Greasemonkey.

Wireshark Cookie Dump

Collez-y le cookie que nous avons copié à l'étape précédente et faites OK. Une pop-up nous informe que tous les cookies ont bien été écrits.

All Cookies Have Been Written

Rechargez la page et...

Facebook acount hacked

Félicitation, vous êtes maintenant connecté sur le compte Facebook de votre victime ;)

Vous savez quoi ? il existe un petit soft qui fait déjà tout ça à notre place :D

Pourquoi tu nous dis ça que maintenant ?!

Pour vous faire pratiquer tiens !

Plus sérieusement, l'application dont je vous parle est une application Android servant à sniffer les mots de passes Facebook, Tweeter, Youtube et j'en passe sur un réseau Wifi. L'application en question s'appelle Faceniff. Pour l'utiliser rien de plus simple :

  • Connectez-vous à un réseau wifi (Mc Donald par exemple...)
  • Lancez l'application et ... attendez !

Dès que Faceniff aura capturé un login, il vous le fera savoir, vous n'aurez alors plus qu'à cliquer sur le lien qu'il vous affiche et vous arriverez sur la page Facebook de votre victime comme si elle s'était connecté depuis votre smartphone.

Pour pouvoir utiliser cette application, vous devez avoir un téléphone rooté, si ça n'est pas le cas, soit vous le rootez, soit vous ouliez ;) De base, Faceniff ne permet que 3 sniff, au delà vous devrez payez pour obtenir la version complète, à moins de trouver un crack comme par exemple FaceNiffGen ;)

3. Se protéger

C'est bien beau tout ça, mais qui me dit que je ne vais pas être victime de ce hack ?

Si vous avez bien compris ce que je vous ai expliqué en début de ce tutoriel, vous devriez être capables de répondre à cette problématique.

Allez je vous aide ;)
Nous avons vu que le sniffing consiste à écouter le réseau et de capturer les paquets utilisant un protocole non chiffré comme HTTP par exemple. Il suffit donc d'utiliser un protocole chiffré comme HTPPS pour être sûr que les informations ne pourront pas être lues, c'est aussi simple que ça !

Dans le cas de Facebook, il suffit d'aller dans les options de sécurité du compte et d'activer la "navigation sécurisée" :

Comtpe Facebook en mode sécurisé

De cette manière, même si les paquets de connexion sont interceptés, ils ne pourront être lus ;)

Le site sur lequel je veux me connecter n'utilise pas HTTPS, comment je fais pour me protéger ?

La solution ultime conciste à utiliser un VPN. De cette manière, vous serez protégé de ce genre de hack et vous pourrez vaquer à vos occupations l'esprit tranquille !

J'espère que ce tutoriel vous aura fait prendre conscience des risques liés aux sites web utilisant des protocoles non chiffrés et que désormais plus personne ne se fera avoir !

Vos réactions (35) :

Aya888

Bonjour, tout d'abord je trouve votre tuto interessent; juste une question: comment cibler vous votre victime?? Je suis un peu perdu... Merci d'avance

10/08/2013 à 22:25

dsklm

Bonjour,
WireShark ne détecte que les connexions à partir de mon ordinateur (en Wifi seulement) et non celles des autres appareils sur le même réseau. Pourquoi et comment y remédier???
Merci

27/08/2013 à 21:03

lobodol

@Aya888 : Il est est impossible avec cette méthode de cibler une victime à moins de savoir où elle habite et de se connecter sur son réseau. Ici, on fait de l'écoute de réseau, donc on prend tout ce qui passe, on ne cible personne en particulier.

@dsklm : Effectivement c'est étrange. Tu es bien sûr d'être connecté au réseau Wifi ? Tu as bien choisi la bonne interface ?
Vas faire un tour ici, ça peut peut-être t'aider.

28/08/2013 à 09:39

dsklm

Oui j'ai même débranché ma prise RJ45 et je suis donc connecté sur le même réseau que ma tablette. Mais quand je visite un site sur cette dernière, Wireshark ne le détecte pas alors que si je le visite depuis mon ordi, il est détecté.

28/08/2013 à 12:29

Kryptazer

@dsklm: c'est pas se que tu est sur un reseau commuté, et Wireshark ne fait que recuper les paquets qui passent par ton PC.
Pour recuperer les paquets qui passe par le PC de sa victime du dois empoissonné son cache ARP de la victime: tu peus le faire avec Cain & Abel qui est gratuit.
Au plaisir ;)

18/09/2013 à 17:25

mahdouch

coment pirater

16/11/2013 à 17:18

Chris

Bjr, je trouve que c'est un très bon tuto, mais en fait j'ai un souci lorsque je doit injecter le cookie par les touches alt + C donc est ce vous savez s'il y a une autre méthode? Je voudrais savoir aussi est ce qu'on peut reussir a prendre le cookie d'un site wordpress et comment y pénétrer ? Si oui, comment ?
Cordialement

21/11/2013 à 21:54

lobodol

@Chris : Quel genre de soucis ? Il existe probablement d'autres méthodes pour injecter des cookies mais je ne les connais pas. Libre à toi de te renseigner sur le net.
Le fait que le site soit chez Wordpress ne change rien au processus. Après, ici tu récupère des cookies de connexion, donc si le site en question ne propose pas de connexion, tu ne récupèrera rien.

23/11/2013 à 11:39

Anoniguy

Merci pour ce tutorial !
J'ai toutefois un problème.
Je récupère bien le cookie via wireshark, je l'insère via greasemonkey (alt+c), mais lorsque je rafraichis la page, je ne suis pas connecté au compte visé, la page sur l'accueil.

Le cookie se présente ainsi : "Cookie: datr=O0JoUm-uv0nyPnz9YF8Spjn7; fr=09zw70HOikx5lGAQ2.AWWn8nfmcNc5S5cCF_s1hApD79g.BSaEMF.oy.FKI.AWUC6DKr; lu=gge3s95mn2ljc-AyCRXlXeHw; locale=fr_FR; datr=O0JoUm-uv0nyPnz9YF8Spjn7; fr=09zw70HOikx5lGAQ2.AWUfeTQahEQ9LvlTDZhxjGT2DE0.BSaEMF.oy.FKI.AWVHH15U; lu=ggjz2MFycjrxcMdapJtr3Qzg; csm=2; p=158; act=138550*********50%2F43; sub=16777216; wd=1295x678; csm=2; sub=17301504; p=158; act=1385509791982%2F0; wd=1295x678"

Est-ce tout cela qu'il faut insérer dans greasemonkey ou n'est-ce que les informations commençant à "datr" ?

27/11/2013 à 00:59

lobodol

Non c'est bien tout ça qu'il faut insérer dans greasemonkey. C'est étrange que ça ne fonctionne pas. Peut-être n'est-ce pas le bon cookie. Tu es bien sur d'avoir capturé le cookie qui correspond à la connexion Facebook ?

28/11/2013 à 11:58

Cronaldo77130

Bonjour, tuto génial, mis petit probbleme : e fais tout comme il faut, mais une fois de rafraichir la page, rien, sa actualise et sans plus, je ne suis pas connecté a facebook je suis toujours sur la page d'acceuiil, que faire? Merci

13/12/2013 à 03:51

Caroro

Sur quel paquet doit cliquer lorsqu'il y en plusieurs qui sont présentés ? GET ... HTTP 1.1 ? J'en ai plusieurs d'affichés et je ne sais pas lequel prendre pour copier son cookie après ...
Merci !

04/02/2014 à 13:21

lazarus

bonjour voulais juste ajouter 2 choses essentielles a ton tuto si il est bien pour ne pas inciter au "hack pute" la premiere , le nom du type d'attaque ( ca change en rien le tuto mais permet a ceux qui veulent pousser les recherche de continuer avec une base)
cookie stealing

la 2eme jai parcouru plusieurs blogs et forum donc la veracité de ce qui suit n'engage qu'eux mais le https ne protege en rien ce type d'attaque (cf definition d'un cookie) la seule chose qui a du t'en "empecher" je pense cest que whireshark ne filtre pas le htpps ( mais j'avoue que cest encore incomprehensible vu la bombe qu'est ce soft) en faite je vais rajouter une derniere chose qu'on ne voit pas sur le net (donc j'en suis pas sur non plus)
pour une attaque reussie il faut qu'au moment ou vous lancez l'attaque cest a dire quand vous validez les filtre sur wsk que la cible NE SOIT PAS CONNECTÉE donc preparez l'attaque en fonction des horraires de la cible pas des votre
si cest un ouvrier vous pouvez commencez par exemple a 16h30 et attendre que la cible se connecte
voila pour les ptites precisions bon courages pour la suite ^^

04/02/2014 à 14:45

lazarus

re derniere chose la seule facon a mon humble avis de noob de se premunir de ce type d'attaque est de ne pas cliquer sur ce petit et for allechant pop up " voulez vous que windaub retienne ce mot de passe"

04/02/2014 à 14:47

lazarus

@anoniguy a vu de nez tu n'as pas pris le bon cookie regarde dans l'exemple il y a un passage c_user=.....
hors toi dans le tiens il y a tout d'une configuration graphique wd=....*.... local=fr
il y a bien du datr mais aparement plusieur cookie utilise ca ( je sais absoluement pas a quoi ca correspond si quelqu'un sait pourrait il m'eclairer ? )

04/02/2014 à 14:55

lazarus

@caroro je te conseille vivement de les faire tous ainsi tu pourras voir la difference entre tout ces fichier directement dans l'interface de wireshark
il y en a peu etre d'autre site je crois que gmail est toujours fragile face a cette attaque en plus

04/02/2014 à 14:58

lazarus

j'essaye de mareter sur ce post mais lobodol
comment peut tu faire quelque chose et dire que cette chose est impossible a faire ???
ton cookie mis sur le site ne serait il pas un htpps a tout hasard ? ^.^

04/02/2014 à 15:01

lobodol

@lazarus : désolé du retard, semaine très chargée. En tout cas ça faut plaisir de voir un lecteur aussi impliqué :) vivement que le forum soit mis en place, je sens là un futur membre actif !
Je vais mettre à jour le titre du tuto en effet. En ce qui concerne le https, je ne suis pas sûr de sa vulnérabilité. Je vais donc approfondir mes recherches. Et non, mon cookie n'est pas en HTTPS, je m'en suis bien assuré avant de faire ma capture.

08/02/2014 à 15:36

lazarus

@lobodol : coucou tu n'est pas le seul a etre chargé en ce moment .au temps pour moi s'il n'etait pas en htpps
cest cette ligne qui ma fait dire ca
:x-referer=https%3A%2%2Fwww.facebook.com%2Findex.php%3Fstype%3Dlo%26jlou%3DAfdNjMy5KGpzL-

membre actif je ne pense pas ( jai un niveau en informatique qui frole la "demie-molle" mdr je fais ce que je peux avec ma logique et ma curiosité )mais merci
par contre peu tu me dire les os qui sont compatible a ce hack ? egalement si ca peut ne pas fonctionner en fonction du parefeu ou autre ?
bonne continuation en tout cas
le blog est certe "demuni" mais on sent vraiment que les tutos sont de toi et que tu vise la qualité plutot que la quantité et ca j'aime beaucoup !!! :p

18/02/2014 à 01:44

Léah

Bonjour, tout d'abord très bon tuto ! Tout est super bien expliqué.
J'avais juste une question. Quelqu'un qui utiliserait cette technique pourrait-elle écouter le réseau de mon iphone si je me connecte sur facebook avec ce dernier ? En d'autres termes, cette technique marche -t-elle que pour capturer les cookies d'un ordinateur ou cela marche t-il aussi pour un iphone ?

Excusez la noob que je suis...ma question est peut être stupide..
Merci d'avance pour votre réponse !

26/04/2014 à 00:33

lobodol

@Léah: Bonjour,
Tout à fait, cette technique fonctionne également pour les smartphones ;)

26/04/2014 à 01:16

Dorian

Bonjour, je suis novice et un peu perdu. J'ai installé et fais tout comme il faut mais lorsque je marque http.cookie contains datr je ne réceptionne rien aucun paquet.. Quelqu'un peu me dire pourquoi? Je me suis connecter avec mon iPhone en wifi pour vérifier et toujours rien!? Je cherche mais ne trouve pas la solution help me please

29/04/2014 à 07:50

Dorian

Personne pour répondre???

10/05/2014 à 23:51

lobodol

Si si il y a du monde mais maintenant on utilise le forum pour les demandes d'aide, comme ça, ça servira à tout le monde ;)

11/05/2014 à 00:54

Dorian

Merci @lobodol :-)

11/05/2014 à 09:14

grimjow

Salut, déjà merci pour ce tuto bien détaillé. Mon problème à moi c'est que lorsque je me connecte à Facebook le lien se met automatiquement en httpS or je pense que cette méthode ne fonctionne qu'en http, j'aimerai savoir si il était possible de régler ce problème, merci.

03/06/2014 à 23:35

lobodol

@grimjow : Je vais me répéter mais maintenant, lorsque vous demandez de l'aide, utilisez le forum. C'est plus pratique pour exposer ses problèmes ainsi que pour y répondre.
Merci de votre compréhension :)

06/06/2014 à 15:33

Nono

Est-ce qu'un VPN peut protéger l'utilisateur dans le cas où le pirate est sur le même réseau? (et peut donc sniffer les infos). Le pirate ne peut pas intercepter quelque chose entre au milieu: utilisateur <---> vpn ?

19/06/2014 à 14:19

lobodol

@Nono : Oui tu es protégé derrière un VPN, j'en parle en fin d'article.

19/06/2014 à 14:22

Toshiba

C'était le bon vieux temps ça... Mais malheuresement (ou heuresement?) depuis décembre 2013 Facebook protège ces cookies, ils passent incaperçu sur WireShark :-)

26/06/2014 à 17:52

lobodol

Tout à fait, c'est vrai que ca ne fonctionne plus pour Facebook mais ça fonctionne toujours pour tous les sites non https.

26/06/2014 à 19:05

Shinigami

Tuto très bien détaillé, en revanche ça ne marche pas du tout pour moi.

Je me connecte à mon réseau wifi avec mon PC portable, mais quand j'entre dans le filtre "http.cookie contains datr", il n'y a rien, même si je me connecte à Youtube, Outlook, ou autre, même avec un téléphone portable qui est sur le même réseau, comment faire ?..

28/01/2015 à 17:08

lobodol

Salut, si tu ne vois pas les tram réseaux, c'est qu'elles ne sont pas en HTTP. Je rappelle que le protocole HTTP en chiffre pas les données. Au jour d'aujourd'hui il ne doit plus y avoir beaucoup de site faillibles avec cette méthode (fort heureusement d'ailleurs).
Pour donner un ex, le site http://openclassrooms.com/inscription/ utilise le protocole HTTP pour la page de login, donc les données sont visibles en clair sur le réseau, tu peux donc essayer

29/01/2015 à 12:30

geronimo

lorsque je colle le filtre
http.cookie contains datr
syntax error

29/08/2016 à 15:02

swagman

swagswag

07/02/2018 à 14:20

Vous avez besoin d'aide ? Utilisez le Forum plutôt que les commentaires.

Un commentaire ?

* Champs obligatoires