Quentin33 Posté(e) le 15 janvier 2022 Share Posté(e) le 15 janvier 2022 Bonjour à vous, J'ai une de mes connaissances qui s'est fait "pirater" son compte Instagram par simple clique sur un lien du type : http://giftcartXXXX.shop/pseudo_instagram Bref, ce que je ne comprends pas c'est que cette même personne me dit qu'elle n'a rentré aucun code ni mot de passe après avoir cliqué sur ce lien. Ce qui se passe ensuite c'est que sans le vouloir, se lien a été envoyé à l'ensemble de ses contacts avec qui elle a déjà discuté, bien évidemment l'url était différente (les XXXX correspondent à un nombre différent pour chaque personne). Puis, en me rendant sur le lien giftcartXXXX.shop on est redirigé vers Instagram, donc là je suis un peu perdu sur la manière dont le "hack" a pu fonctionner. Voilà je tenais juste à savoir si quelqu'un pouvait m'expliquer (à but informatif et préventif) comment il était possible après simplement un clic sur un lien de pouvoir envoyer à tous les contacts un message personnalisé. Si un simple clic suffit à présent pour prendre possession d'un compte, sans que la personne rentre ses données, c'est un peu flippant. Bonne journée à vous ! Lien vers le commentaire
Le PoissonClown Posté(e) le 15 janvier 2022 Share Posté(e) le 15 janvier 2022 Bonjour, Rien n'est impossible. Mais il me paraît plus plausible qu'il ne s'agisse pas simplement d'un clic sur un lien, mais aussi d'une appli vérolée sur l'appareil, qui prenne le contrôle de l'appli Instagram. Lien vers le commentaire
Quentin33 Posté(e) le 15 janvier 2022 Auteur Share Posté(e) le 15 janvier 2022 Salut @Le PoissonClown! Ce qui se passe c'est que plusieurs de ses connaissances ont également cliqué sur le lien (chaque utilisateur a un lien différent les XXXX + nom_utilisateur dans l'URL), et ils se sont retrouvés également "hack". Donc une appli véroléé sur l'ensemble des appareils me semble un peu gros Mais le rien n'est impossible me fait douter. Cela voudrait dire qu'actuellement il est possible par un simple clic sur un lien depuis admettons un compte Instagram, la personne ayant crée ce lien récupère notre identifiant (pourquoi pas), mais également notre mot de passe en clair ? (cela me semble un peu gros, et avec peu de sécurité de la part d'Instagram) Je ne sais pas si vous voyez mes doutes, enfin prévenir du fishing ok, mais prévenir du clic sur un lien me semble plus complexe 1 Lien vers le commentaire
Toto61 Posté(e) le 15 janvier 2022 Share Posté(e) le 15 janvier 2022 (modifié) Salut, Si @Le PoissonClown me le permet, j'ajouterai ceci. il y a 16 minutes, Quentin33 a dit : Cela voudrait dire qu'actuellement il est possible par un simple clic sur un lien depuis admettons un compte Instagram, la personne ayant crée ce lien récupère notre identifiant (pourquoi pas), mais également notre mot de passe en clair ? (cela me semble un peu gros, et avec peu de sécurité de la part d'Instagram) Si le site arrive à snifer le jeton de connexion d'Instagram grâce à une faille du navigateur, rien de sorcier en effet pour se connecter depuis un autre PC sans disposer des identifiants. Comment crois-tu que des milliers (si ce n'est plus) de comptes mails (Orange, SFR, Microsoft), ou autres (Facebook entre autre, même groupe que Insta...) se fassent pirater depuis des années de la sorte ? Il y a une règle à retenir : TOUJOURS se déconnecter (Webmail, Réseaux sociaux...) avant de fermer l'onglet sur lequel on se trouvait, pour ne pas que ce jeton de connexion soit conservé lorsque l'onglet est fermé. Modifié le 15 janvier 2022 par Toto61 1 Lien vers le commentaire
Le PoissonClown Posté(e) le 15 janvier 2022 Share Posté(e) le 15 janvier 2022 il y a 7 minutes, Quentin33 a dit : Ce qui se passe c'est que plusieurs de ses connaissances ont également cliqué sur le lien (chaque utilisateur a un lien différent les XXXX + nom_utilisateur dans l'URL), et ils se sont retrouvés également "hack". Donc une appli véroléé sur l'ensemble des appareils me semble un peu gros Effectivement. Bonjour la faille. il y a 8 minutes, Quentin33 a dit : la personne ayant crée ce lien récupère notre identifiant (pourquoi pas), mais également notre mot de passe en clair ? Non, je ne pense pas. Elle récupère certainement la connexion comme l'évoque @Toto61, et de là elle peut publier à tous les contacts. Mais théoriquement elle ne peut pas voir le mot de passe (nécessite de prendre le contrôle de l'appli, et pas seulement le compte) et ne peut pas non-plus le changer (nécessite une confirmation par mail). 1 1 Lien vers le commentaire
Quentin33 Posté(e) le 15 janvier 2022 Auteur Share Posté(e) le 15 janvier 2022 Il y a 3 heures, Toto61 a dit : Salut, Si @Le PoissonClown me le permet, j'ajouterai ceci. Si le site arrive à snifer le jeton de connexion d'Instagram grâce à une faille du navigateur, rien de sorcier en effet pour se connecter depuis un autre PC sans disposer des identifiants. Comment crois-tu que des milliers (si ce n'est plus) de comptes mails (Orange, SFR, Microsoft), ou autres (Facebook entre autre, même groupe que Insta...) se fassent pirater depuis des années de la sorte ? Il y a une règle à retenir : TOUJOURS se déconnecter (Webmail, Réseaux sociaux...) avant de fermer l'onglet sur lequel on se trouvait, pour ne pas que ce jeton de connexion soit conservé lorsque l'onglet est fermé. Bonsoir bonsoir ! Pour moi les milliers de comptes piratés étaient simplement dû à un phishing où la personne rentrait son identifiant et son mot de passe. Concernant le jeton dont vous parlez, les liens ont été ouvert sur mobile, donc depuis l'application Instagram, fonctionnement assez différent d'un navigateur "complet" je pense (je m'y connais pas trop, je demande). Tout doit sans doute rester en interne, c'est pour cela que ça me semble très bizarre. Lien vers le commentaire
Solution Le PoissonClown Posté(e) le 15 janvier 2022 Solution Share Posté(e) le 15 janvier 2022 Il y a 2 heures, Quentin33 a dit : Concernant le jeton dont vous parlez, les liens ont été ouvert sur mobile, donc depuis l'application Instagram, fonctionnement assez différent d'un navigateur "complet" je pense (je m'y connais pas trop, je demande). Tout doit sans doute rester en interne, c'est pour cela que ça me semble très bizarre. D'après ce que je peux lire de l'API d'Instagram, il y a bien un jeton de connexion pour l'appli android. Et il y a des outils en ligne qui permettent de récupérer ce jeton pour certaines tâches comme publier en même temps sur plusieurs réseaux sociaux, ou afficher son compte sur un site… Donc si ça se tombe c'est même assez simple de faire ce genre de piratage. Heureusement qu'un jeton de connexion ça se périme. 2 1 Lien vers le commentaire
Toto61 Posté(e) le 16 janvier 2022 Share Posté(e) le 16 janvier 2022 (modifié) @Quentin33 je suis preneur d'un de ces liens reçu (à m'envoyer par MP bien sur) Modifié le 16 janvier 2022 par Toto61 1 Lien vers le commentaire
Quentin33 Posté(e) le 16 janvier 2022 Auteur Share Posté(e) le 16 janvier 2022 Il y a 10 heures, Le PoissonClown a dit : D'après ce que je peux lire de l'API d'Instagram, il y a bien un jeton de connexion pour l'appli android. Et il y a des outils en ligne qui permettent de récupérer ce jeton pour certaines tâches comme publier en même temps sur plusieurs réseaux sociaux, ou afficher son compte sur un site… Donc si ça se tombe c'est même assez simple de faire ce genre de piratage. Heureusement qu'un jeton de connexion ça se périme. Ah oui d'accord je vois, assez embetant tout de même Merci pour toutes les infos ! Lien vers le commentaire
Messages recommandés