ASafety - AntiSecurity Un projet qui vous tiendra @coeur...

[x[@♥]]

J'avais lu cette news en anglais il y a peu, mais je n'avais pas dû la poster ici (je ne l'ai pas retrouvé :$).

La voici en français, vraiment amusante tout en faisant prendre conscience

Il se croyait bien protégé, le responsable de la qualité et de l'ingénierie chez Facebook. Mais pour en avoir le coeur net il a tout de même lancé un défi à ses collaborateurs : parvenir à lui dérober les codes d'accès au back-office d'administration de Facebook.

Cela leur a pris du temps mais ils y sont presque parvenus. Pour cela, les attaquants ont fait le siège de son domicile et ont réussi à pénétrer son réseau WiFi personnel (après avoir dérobé sa clé WPA en forçant son ordinateur à se connecter à un faux point d'accès présentant le même nom que le sien). Ils ont pu ensuite tout simplement renifler son trafic à domicile.

L'histoire se termine cependant relativement bien : seuls les identifiants de sa page personnelle sur Facebook ont été dérobés, mais les attaquants ne sont pas parvenus à se connecter au back-office d'administration (soit parce que l'ingénieur ne s'y est pas connecté depuis son domicile, soit parce que le système exige une authentification à plusieurs facteurs).

Moralité : un attaquant déterminé, dans le cadre d'une attaque ciblée, a vraiment de bonnes chances de réussite.

Moralité bis : rien ne vaut un vrai VPN pour les connexions depuis le domicile.

Moralité ter : déployer une solution d'authentification forte web pour ses back-office critiques n'est pas une mauvaise idée.

Src here!