Le car-jacking de session facebook :)
Le sidejacking c'est quand même moins violent 
En ce beau dimanche enneigé j’ai enfin pu filmer un nouveau podcast
Ce dernier présente une attaque nommée sidejacking ou session jacking. En gros c’est comme du car-jacking mais avec une session gmail, facebook ou autre.
En effet, lorsque l’on se connecte sur un site web, l’identifiant et le mot de passe n’est envoyé qu’une seule fois, ensuite le serveur génère un token (numéro aléatoire et unique) et le stocke dans un cookie sur l’ordinateur identifié.
Ce token permet à l’utilisateur de ne pas s’identifier à chaque changement de page.
Pour faire cette démo, j’ai utilisé deux outils bien sympathiques, le combo Hamster & Ferret (dévoilé en 2007).
Ferret inspecte le trafic web passant par l’ordinateur et en extrait tous les cookies. Hamster, quand à lui, est un proxy qui permet d’exploiter tous ces cookies pour s’identifier.
Pour rajouter un peu de piment au cocktail, j’ai utilisé Cain pour faire un man in the middle et récupérer le trafic d’une autre machine présente sur le réseau.
Le tout permet de se connecter à un compte gmail (entre autre..) sans même avoir son mot de passe
Et pour la première fois, une machine sous backtrack est « hackée » depuis une machine sous XP !! (EXCLU)^^
Maintenant vous savez à quoi sert le bouton « se déconnecter » 
Une autre façon simple de se prémunir du sidejacking est de (verrouiller sa portière) se connecter en HTTPS si le site le permet.
Super démonstration ! Je teste ça dès ce WE au salon de l’étudiant :p
Bah ouai! Des fois que je sois un mito et qu’ en vrais ce ne fonctionne pas ^^
Waaa c’est super ton truc, j’vais tester moi aussi, c’est toujours bien d’apprendre comment on fait
ferret marche tres bien chez moi par contre hamster ne marche toujours pas;il m’affiche — Should never get here— .S’il vous plait aidez moi !!!!
Quel version de hamster utilises-tu ?
Ce message s’affiche dans la console ou dans ton navigateur ?
Le message s’affiche dans la console et la page de hamster ne s’affiche pas et pourtant j’ai configuré le proxy
Peut-être que le port 1234 est utilisé par un autre logiciel ou que hamster est lancé en double, ou alors il manque un des fichiers nécessaires au démarrage de hamster.
Ça peut aussi venir de ton firewall, essayes en le désactivant.
Ou sinon tu peux essayer une version plus récente (ou ancienne) de hamster pour voir.
La version pour linux est un peu foireuse (de l’aveu de son développeur), si c’est ton cas ca peut aussi venir de la. Tu peux aussi tester la version windows.
C’est très gentil de ta part.J’ai pu résoudre le problème grâce à toi.Mais quand j’ouvre la page yahoo ou autres,je peux voir que le profil mais je n’arrive pas à lire ses e-mails.Ta une idée?
Cool ! D’où venais le problème finalement ?
Concernant le sidejack de compte yahoo je n’ai jamais essayé, peut être que l’accès aux mails sont en HTTPS ce qui chiffrerais les cookies et empêcherais l’attaque (Il serait toutefois toujours possible de la réaliser via d’autres techeniques).
Ou peut-être que les cookies ne sont tout simplement pas utilisés pour les mails.
Il manquait des fichiers comme tu l’avais dis.Mais pour les autres techniques tu peux m’en dire pus?
Je vais essayer de faire un article/podcast ce weekend là-dessus
l’outil s’appelle sslstrip
Merci à toi !! je vais attendre. Si t’as d’autres outils de ce genres fais signes!
voila moi quand j’utilise cean bah je fais tout comme toi mais impossible de trouver des sniffer … Help please
Alors tu télécharge le fichier .rar qui contient 5 fichier.
Ouvre 2 invites de commande dans le même répertoire que Hamster & Ferret ensuite tape sur l’un hamster et l’autre ferret -i et choisis ton interface réseau. Ouvre ton navigateur et dans proxi , Choisi utiliser un proxi et met comme adresse 127.0.0.1 et port 1234 . Pour finir tape dans l’URL 127.0.0.1:1234 ou hamster.
J’espère que ca va t’aider.
mais moi dans le dossier sidejacking je n’es que 4 fichier …
c’est quoi une interface reseau … ptin jsuis nul lool
je m’explique : jai telecharger le fichier rar qui contenait que 4 fichier
Jai ouvert deux commande, je vais dans « cd c:\sidejacking
puis apres je tape hamster et la il y a un probleme ! Il me disse « no such files or directory »
et pis je tape dans l’autre « ferret -i » et la il mapparais
C:\Users\Anthony>cd c:\sidejacking
c:\sidejacking>ferret -i
– FERRET 1.1.3 – 2007 (c) Errata Security
– build = Aug 8 2007 22:37:48 (32-bits)
– WinPcap version 4.1.1 (packet.dll version 4.1.0.1753), based on libpcap versi
on 1.0 branch 1_0_rel0b (20091008)
-i: invalid argument, expected something like « -i1″ or « -i eth0″
timeout(1): unknown linktype = 0 (expected Ethernet or wifi)
c:\sidejacking>
donc voila je comprend pas
:(
Dessolé pour le retard;
Avant vérifies est-ce que ta installé Winpcap. C’est primordial,Ensuite dis moi quelles sont tes 4 fichiers.
Pour ferret tu doit taper un chiffre apres le i, cela correspond au numero de l’interface que tu veut utiliser. Engeneral c’est le 1, si ca ne marche pas essaye en d’autre.
Pour le no such file cela veut dire que hamster n’est pas dans ton dossier sidejacking, ou alors essaye avec « hamster.exe »
Bonne chance
Merci j’essaye tout sa ce matin et je vous dis !
EDIT : Me faut il Cain aussi? Car quand je lancer les sniffers je n’en trouver aucun …
Voila j’ai beau lancer hamster avec le .exe je tobe toujours sur sa :
c:\sidejacking>hamster
— HAMPSTER side-jacking tool —
hamster.txt: No such file or directory
Peut-etre que ton hamster et ton ferret ne sont pas dans le même dossier?
bah si dans le dossier sidejacking! Je comprend pas serieux :’(
si je vous donne mon adresse msn pouvez vous maider ?
ok! donne ton adresse msn.
Mais verifie est ce que ta les 5 fichiers, que tous ces fichiers sont dans un meme dossiers.
shoubis-banana[at]hotmail.fr
Mais je n’est que 4 fichier moi kan je telecharge hamster et ferret !
Demain je me connecte dans laprem si tu peux m’aider c simpa !!
Merci
ok !
Normal que quand je veux scanner sa reste a 0% la barre de chargement est bleu ?
Non, bien sur ce n’est pas normal
Tu parles du scan de cain ?
Je parle de cain
oui le Scan le Scan n’avance pas et reste a zero :/
C’est bizarre tu peux peut-être essayer de faire les scan manuels, c’est a dire lui donner un range plus restreins ou de faire seulement quelques types de scans.
Il y a aussi un petit bug dans Cain qui fait qu’il ne peut pas faire de scan si tu changes de connexion pendant qu’il est lancé.
cain est facultatif et juste pour agir sur un pc du reseau local ou je suis a l’ouest ?
Cain sert a intercepter les données sur ton réseau local. Tu peut aussi effectivement utiliser hamster et ferret avec un fichier pcap capturé précédemment mais les sessions contenues dans ces paquets risque d’êtres expirées.
cela pourrais par exemple servir pour jouer un tour a mon frère en gros ^^
Bonjour,
Je viens de télécharger Hamster & Ferret, j’ai lu tout le tuto et tout les posts mais j’ai malheureusement le même problème que Antho. Puis-je te contacter par msn ou par téléphone pour t’expliquer ? Je n’ai aussi que 4 fichiers dans mon zip.
Merci d’avance. Bien à vous !
Colin
Salut Colin !
Il est normal de n’avoir que 4 fichiers avec hamster & ferret, le 5ème est créé par ferret quand il commence la capture.
Lance donc ferret en premier et hamster juste après.
Bonjours,
J’ai un problème moi sa ne fonctionne pas du tout malheureusement, lorsque je vais sur la page hamster, il me met mon ip je clique dessus et dans la liste des cookies il me renvoie sur ma session facebook, et non pas c’elle que je désirais… Peut être cela vient t’il d’une mauvaise manipulation de ma part ?
Je vous laisse mon add mail pour ceux qui serait prêt à m’aider : guillaumepanait@hotmail.com
Si il n’y a que ton IP, cela veut dire que le man in the middle n’as pas fonctionné. D’autre part, il faut utiliser un autre navigateur ou une session privé car sinon tes propres cookies interefererons avec les cookie injectés par hamster.
Bonjour Thomas,
J’ai découvert ton blog aujourd’hui. J’ai donc testé hamster et ferret. Je me posait une question faut-il que l’utilisateur se log alors que le sniffer est en route? ou simplement qu’il fréquente le site.
Le cookie n’étant transmit, si je ne m’abuse, qu’a la connexion il devient impossible de le récupérer si la personne est deja connecté non ?
Merci pour cette précision, ainsi que pour tes lumieres sur ces 2outils totalement incroyables.
PS: pour ce qui est du ARP poisoning, quelle sont les restrictions au niveau du réseau ? J’entend par la, certaines configurations réseau peuvent-elle empécher ce genre d’attaque ? Les portails publics sont-ils sujets a ce genre d’attaque ? (le cas mcDo ? le cas cybercafé (filaire) ? etc…)
Merci beaucoup !
Tu m’as redonné la passion de la sécu informatique (étant développeur a la base, j’étais très porté sécuritée web pure..)
Max.
est ce qu’il est possible de choisir sa victime ? par exemple pirater la session facebook de qqun qu’on connais ou aller dans la boite mail d’un amis… si oui, cmt faut faire ??
merci de vos réponses
Salut Max, content que mon article t’ai plus je vais essayer de répondre a tes questions.
Lors d’une attaque de ce type, il y a deux façons d’obtenir les accès de la victime, soit en attendant qu’elle se connecte et récupérer son login et mot de passe, soit après la connections en interceptant les cookies.
C’est a ça que sert hamster et ferret (intercepter et reforgé les cookies).
Le cookie quand a lui est émis a chaque requête, c’est d’ailleurs son utilité principale car il permet a l’utilisateur de rester logé sans rentrer ses informations d’identification a chaque fois.
Un réseau configurer avec des tables ARP statique permet effectivement de d’empêcher complément ce type d’attaque, cependant il est vraiment très difficile a maintenir et son déploiement n’est pas envisageable sur des réseau partagé de type aéroport ou mcdo. En effet il faudrait lier chaque adresse mac a une adresse IP et ce pour chacun des utilisateur du réseau.
Une solution est d’isoler les utilisateur les uns des autres avec des vlan par exemple, mais la encore la configuration n’est pas aisée.
Salut Eagle31
Bien sur il est possible de choisir sa victime du moment qu’elle se trouve dans le même sous réseau que le tien. Pour « pirater » tes amis ce n’est pas possible de cette façon de chez toi mais cela deviens réalisable lorsque vous vous trouvez dans le même réseau (école, wifi partagé..). Dans ce cas la tu sera toi aussi vulnérable
Si vous avez d’autres questions n’hésitez pas
Salut thomas j’ai fait tout ce que tu as marqué mais lors de me connecter a hamster sur internet je ne peux pas afficher la page. Au debut aussi lors de l’affichage des addresse ip apres le scan, 4 sont detecter mais elles ne ressemblent pas a celle que tu a trouvé et je ne sait pas laquelle choisir car elles n’ont pas de descriptif…
Merci d’avance.
N.
mon addresse msn : leo.lv@hotmail.fr
Bonjour,
si je comprends bien, le sidejacking ne permet pas d’accéder au compte d’une personne qui n’est pas dans le même réseau? Dans cette situation, existe t-il tout de même des méthodes pour accéder au compte d’une autre personne ?
Merci d’avance.
Jim
@ nogaine
Si tu ne peut pas afficher la page de hamster c’est qu’il y a un problème et il est surement explicité dans la console.
Je suppose que tu parles des ip scannée avec cain, elle peuvent être de différentes formes comme par exemple 172.16.*.* ou 10.0.*.*
Si elle n’on pas de description c’est qu’il s’agit certainement d’éléments du réseau comme des routeurs ou des replicateurs.
Tu peux aussi te renseigner sur le logiciel Nmap (zenmap pour windows en GUI) qui te permettra d’avoir plus d’informations sur les IP en question comme le système d’exploitation ou les services qui tournent dessus.
@jim
Salut Jim, effectivement cette technique ne fonctionne qu’en réseau local. Il existe cependant d’autres techniques mais celles si sont soit liées au site en question (faille sur le site) soit elles nécessitent un accès physique à l’ordinateur de la personne (vol de cookies, keylogger ou autre malware etc.. )
@jim pour plsu de précision, le man in the middle (arp spoofing) lui ne fonctionen qu’en réseau local. Le side jacking à de grandes chances de fonctionner depuis un autre réseau (cela dépend du site).
Donc si tu utilises un autre moyen pour intercepter des cookies tu pourras te connecter en les utilisant même en dehors du réseau local de la victime.
Salut!
Merci pour le tuto très bien fait!
J’ai malheureusement le même soucis que d’autre à savoir que le fichier hamster.txt n’est pas crée après avoir lancé ferret :/ (sur mon pc portable). Et sur mon pc fixe quand je lance ferret j’ai tout un tas de texte qui déboule et hamster ne fonctionne pas après mais le .txt est créé ^^
Merci d’avance si vous avez la solution!
J’ai vraiment besoin d’aide, je suis pas très bon en informatique, mais j’ai vraiment besoin d’arriver a sidejacker !
J’ai installer Hamster + Ferret. Et après je suis complètement perdu.
S’il vous plait aider moi à : jojo-97@hotmail.fr
Bonjour tous le monde, j’ai télécharger hamster & ferret mais je n’ai que 4 fichier et même si je lance ferret en 1er le 5ème ne se crée pas.
Quand je lance hamster il me dit :
— HAMPSTER side-jacking tool —
hamster.txt: No such file or directory
Pourtant hamster et ferret sont dans le même dossier, je ne comprends pas s’il vous plait aider moi.
Merci d’avance Mathieu.
je ne comprends rien à l’informatique a mon grand désespoir mais je trouve EPATANT ce que vous faites
(je vais quand meme essayer d’installer « Hamster et ferret »)
Salut à tous,
Je recherche une bonne âme, voilà j’ai 42 ans ne connais pas beaucoup l’informatique, en tous cas le cracking et j’y comprends rien au renifleur.
Mais la je suis en détresse, je suis en couple depuis six ans, famille recomposer, qui aller très bien, mais un connard et venu courtiser ma femme et lui fait tournée la tête, j’ai récupéré le mail Gmail secret de ma femme, mais je n’arrive pas à le forcé, et je cherche quelqu’un qui pourrais humainement me rendre se service, je n’ai rien à donner juste ma sympathie et ma reconnaissance, dans l’aide que vous m’aurais aider à sauver ma famille.
le problème c’est que l’utilisateur dans le vidéo à utilisé la version Hamster 2 qui utilise le port 1234
et dans le lien de téléchargement il a mis hamster version 1 qui utilise le port 3128 c’est pour cela le plus part des utilisateurs n’arrivent pas a se connecter à http://hamster d’après le proxy
Bien vu Marocain!
D’ailleurs si quelqu’un peut retrouver la version 2…