Ce site est un site lié à la sécurité géré par Paul Rascagnères (aka RootBSD). Je suis consultant et chercheur en sécurité informatique. Je suis également mainteneur du projet Malware.lu. Pour plus d'informations sur mon profile ou pour me contacter, n'hésitez pas à aller voir la rubrique Informations & CV.
Injection de code JavaScript par l'état tunisien

ATTENTION : depuis la publication de cet article mon serveur est particulièrement sujet au DDOS... Ne souhaitant pas répondre de manière aussi stupide à ces attaques. Je vous propose a chacun de faire un miroir de cet article. Je vous remercie d'avance.

Voici comment l'état tunisien injecte sur du JavaScript pour voler les identifiants et mot de passe de ses citoyens.

Voici le code source de facebook quand vous vous y connectez depuis la Tunisie :<\p> J'ai volontairement coupé le code source, le reste n'a que peu d'importance. Par partie curieuse est celle-ci :

Ce code est injecté à la volé par le FAI et n'apparait dans aucun autre pays...

Ce morceau de JS fait donc un query vers http://www.facebook.com/wo0dh3ad?q=blablablabla&u=USERNAME&p=PASSWORD

Avec le username et password en clair. La page wo0dh3ad n'existe évidement pas chez facebook... Par contre cela permet de pouvoir faire un simple : "grep wo0dh3ad /var/log/FAI.log". Grâce à cela le FAI tunisien peut très facilement récupérer le username et le password de son abonné dans les logs !!!