Vous surfiez tranquillement sur youtube, tuant le temps en regardant des vidéos débiles à la chaine. Soudain en cliquant sur le lien "recommandation - vidéo suivante", une page noire s'affiche, une pop-up s'ouvre avec quelques pseudos et une bannière rouge défile : "Google can't code, Youtube hacked!".
Defacement de pages vidéo sur youtube
Pop-up, page noire avec tout type de message, le troupeau de vidéos youtubienne a semble-t'il abrité quelques brebis galeuses. Si vous avez trainé sur la plate-forme de vidéo streaming l'après-midi (13h45 - 15h) de ce dimanche 4 juillet, peut-être avez vous vu ce type de page :
Injection d'une frame HTML sur Youtube
Injection XSS d'une pop-up javascript du type javascript:alert("HACKED BY SPONGE");Un raid du forum d'images 4chan cible Justin Bieber
4chan est un forum d'images où se croisent le plus geek du geek sur internet. Divers "sous-forums" existent, dont un particulier qui laisse une grande liberté d'expression à ses membres. Très amateurs de blagues sur internet, la dernière en date est le traficotage d'un vote de tweeter.faxo, portant sur le prochain lieu de concert du jeune chanteur canadien. 4chan a pris la balle au rebond et a codé un petit outil permettant de voter en boucle. Le but : envoyé Justin en Corée du Nord. Pour le moment, il semble que se sera effectivement sa destination :
Visiblement victime d'une Bieber-mania, certains ont recommencé aujourd'hui et ont redirigé les visiteurs de vidéos du chanteur sur youtube vers des sites externes annonçant sa mort. Un bidouilleur informatique (TinKode) montre dans une vidéo une preuve de concept de cette redirection :
Pas très dangereuse mais de mauvais goût, cette vulnérabilité aurait pu être le vecteur d'un attaque bien plus large, infectant des millions d'ordinateurs.
Phishing, diffusion de malware par milliers, Youtube a eu chaud
La faille XSS est trop souvent sous-estimé. Beaucoup de webmasters ne voyent dans cette vulnérabilités qu'une "pop-up" inoffensive.
Pourtant il suffit de réfléchir deux minutes : si des internautes ont réussis à rediriger des visiteurs de youtube vers une page externe au site, ils auraient très bien pu les forcer à télécharger des virus, chevaux de troie et autres logiciels espions.
Exemple du téléchargement d'une fausse mise à jour Adobe Flash PlayerUne autre possibilité aurait été de rediriger les utilisateurs vers une fausse page youtube et de réaliser une action de phishing de très grande envergure.
L'option "hameçonnage" peut également être bien plus dangereuse et discrète qu'une redirection vers un autre site. Si le pirate est malin, il peut le faire directement sur le site de youtube. En effet au lieu d'injecter un fond noir et une petite bannière rouge, il pourrait mettre en place un faux formulaire de connexion à son compte youtube.
Exemple d'injection d'un formulaire pirate par XSS.Ici les données sont envoyées à evil-website.com/index.php
Youtube a réagi en quelques heures et traite désormais correctement l'HTML dans ses commentaires. Durant l'attaque, les modérateurs s'efforçaient de supprimer les commentaires malicieux, mais face au flot de travail le site a du passer pendant quelques minutes en safe mode et désactiver les commentaires.
Des "vestiges" de l'attaque peuvent être retrouver sous certaines vidéos :
La tempête passée, les réactions pleuvent sur 4chan, où les raiders s'opposent à ceux qui dénoncent la puérilité de cette attaque et de "l'image" négative de script-kiddies qui retombe sur la communauté. Mais en parallèle un autre débat se lance : la faille a-t'elle été découverte par 4chan? Il semble que non et que le forum ne soit même pas à la base du raid.
Piratage de youtube : un hack francophone parti de jeuxvideo.com?
L'exploit a été dévoilé sur le forum /v (video game) de 4chan. Mais le sujet n'aillant aucun lien avec les jeux-vidéos il a été supprimé...avant de ressurgir sur le très libertaire /b, où une minorité a lancé l'attaque contre Bieber.
Seulement la paternité de cette découverte est remise en cause. En effet certains utilisateurs parlaient de "raid français" en cours contre Youtube :
L'explication donnée par un des posteurs anonymes est qu'un des raiders français aurait eu la bonne idée de venir demander "de l'aide" sur 4chan, bien mal lui en a pris visiblement. Plusieurs références sont faites vers des sujets de discussion datant du début de l'après-midi, mais 4chan supprimant régulièrement les ""anciens" sujets pour tous les caser en 15 pages, ils sont désormais introuvables.A partir de là réfléchissons un peu : faille d'abord rendu publique sur /v, un raid francophone? On pouvait supposer que le blabla 15-18 ans de jeux-video.com n'était pas très loin.
Une "confirmation" a été donné en commentaire de cet article. Un résumé de l'attaque a même été écrit.
Cependant, si un raid de JV était effectivement en cours alors que 4chan entra dans la danse, la faille aurait en fait été découverte par des membres du site Ebaumsworld. Tout le monde semble vouloir tirer la couverture, et se targuer de crier sur tous les toit "J'y étais". Mais visiblement beaucoup de "pirates" (quelque soit leur forum de départ) se sont contentés de copier-coller des bouts de codes sans en comprendre la nature ou l'impact. Certains ont même posté des commentaires à partir de leur compte youtube principal et sans se "protéger" avec des proxy ou des tunnel VPN.
Ce raid dominical ne consistait pas simplement à "coller quelques bouts de codes HTML". Il s'agissait d'utiliser une faille de sécurité XSS sur un des sites les plus visité au monde, appartenant à l'une des entreprises les plus puissantes du monde. On se rappelle de ce français, Hacker-Kroll, qui avait piraté Twitter : 5 mois de sursis à la suite d'un an d'enquête conjointe Police française/FBI. On peut donc facilement imaginer ce qui va se passer dans les mois qui viennent...
EDIT 06/07/2010 : Il semble que TinKode (auteur de la vidéo présente dans l'article) soit à l'origine de la découverte de la faille. Dans son blog il expliquait le 3 juillet (soit un jour avant les raids 4chan/jv.com) comment rediriger, defacer ou afficher des pop-up sur youtube.
Annexes :
- les exploits qui ont servis au hack de Youtube (inefficaces désormais) :
Le bla bla 15-18 ans du site Jeuxvideo.com est à l'origine de ce hack.
La preuve: http://www.jeuxvideo.com/forums/1-50-49169054-1-0-1-0-le-hack-youtube-resume-en-images.htm
Pas besoin d'un script pour envoyer Bieber en Corée, suffit de dire "Envoyons Bieber en Corée" sur /b/. Avec 13 millions de visiteurs uniques par jour sur 4chan, dont une grosse partie sur /b/, c'est vite fait. ;)
Ils avaient tout de même mis en place des outils "autovotant". cf des tracts de ce genre : http://cache.gawkerassets.com/assets/images/7/2010/07/500x_n_korea.jpg
Désolé de vous contredire mais c'est faux.
4chan a trouvé la faille, des kikoo de JV.com qui vénèrent 4chan et qui passent leurs journées dessus ont découvert le thread et ont ensuite posté sur JV et 4chan que c'était eux qui avaient trouvé la faille.
Concernant Ebaum, à chaque raid 4chan fait croire que ça vient d'eux pour les faire chier. Voilà pourquoi on parle de ces boulets.
C'est de la simple mauvaise fois de 4chan , dès que ça tombe, ils fuient , comme dit joakim , le 15-18 a suivis , la population du 15-18 n'est pas suffisement geek pour chercher une faille contrairement à celle de 4chan( que je respecte soyons clair ). Les 4chan cherchent une vengeance quelconque ( ownage de la drawball ) ou autre. C'est une écrasante lachetée de leur part et c'est très décevant.
Et honnêtement anonyme , il suffit de lire la deuxieme phrase du topic pour comprendre que le 15-18 n'en est pas l'origine.
"Salut à tous !
Un peu plus tôt dans l'après-midi, le site de diffusion de vidéos Youtube à été victime d'un hack massif.
La raison ? Un ligne de code trouvée par les types du site interdit ( ) qui, une fois insérée sur la page, bloquait les commentaires, supprimaient les anciens (commentaires, donc ) et permettait de faire défiler un texte de notre choix dans la couleur choisie. "
Le site interdit EST 4chan , appelé ainsi car le mot 4chan entraîne souvent des banissements.
Avant de calomnier et même d'ajouter sur une newsletter on la vérifie , ou on prend au moins la peine de lire les deux premières lignes.
"4chan a trouvé la faille, des kikoo de JV.com qui vénèrent 4chan"
quand on ne sait pas de quoi on parle on ferme sa bouche, merci !
C'est facile de dire "C'est pas nous c'est le 15-18"
Vos informations sont fausses.
C'est bien 4chan qui a trouvé la faille...
Ne croivez pas vous en tirer comme ça les jeunes, de toute m'anière, vous êtes aussi fautifs que 4chan les 15-18.
Ne croyez pas vous en tirer comme ça les jeunes, de toute manière, vous êtes aussi fautifs que 4chan les 15-18.
C'est le 15-18 qui est à l'origine de tout ça...
Et désolé mais les geek du 15-18 sont très intelligent et sa leur est possible de trouver une telle faille...
Il y en a un qui a fait de même sur JV.com... se disant du 15-18 il a trouver une faille lui permettant de hacker les modérateurs voir plus...
Je ne suis pas du tout avec cette bande de moutons mais il ne faut quand même pas les sous estimé... ils ont tout appris de 4chan et ce n'est pas fini...
(Ils ont même crée leur outil "auto votant" pour ce différencié de 4chan...
Jerry :hap:
belle enquête en tout cas, et merci pour le script, ça peut surement servir sur d'autres site (des sites humm politiques par exemple :D )
Les crétins ne font pas la nuance entre " vouloir s'en tirer" et refuser d'être mis sur le devant de la scène.
Les personnes ayant participer assument , mais en revanche ne sont pas d'accord sur le fait d'être dénoncer par 4chan en temps que lanceur du projet,faut pas déconner.
Et oui , on est tout aussi fautif, on a dit le contraire ?
15-18>all :noel:
Roucoups en avant ! :noel:
Enregistrer un commentaire