Nous avons décidé d’écrire cet article dans un but pédagogique puisqu’il est intéressant de savoir comment les pirates s’y prennent afin de se protéger et surtout de lutter contre tous ces sites promettant de pouvoir pirater n’importe quel compte Facebook (il ne faut jamais les utiliser, jamais, ces sites servent juste à voler vos propres mots de passe !). Evidemment, les méthodes qui seront décrites plus tard peuvent vous donner envie de les mettre en œuvre, ce que nous vous déconseillons formellement puisque c’est parfaitement illégal ! Bref, rentrons dans le vif du sujet.
Pour pirater un compte Facebook (oui, dans ce cas, on dit pirater et non hacker), le plus logique serait de s’attaquer directement à Facebook. Seulement, avec la troupe d’experts en sécurité que le réseau social emploie, il va falloir passer par des portes détournées. Pour cette raison, ce n’est pas à Facebook qu’il faut s’y prendre mais à l’utilisateur de Facebook !
On va commencer par le cas dans lequel vous avez accès à l’ordinateur de la personne. Pour se faire, il y a 2 solutions évidentes. Si la personne a enregistré son compte sur son navigateur préféré, il suffit d’aller sur Facebook puis utiliser un logiciel comme Password Revealer pour regarder sous les étoiles. Par contre, si la personne n’a pas été assez stupide pour cela, il faudra passer par un autre moyen. La solution est alors d’utiliser un logiciel appelé keylogger. Ce type de logiciel enregistre tout ce que l’utilisateur tape, son mot de passe Facebook sera donc forcément dedans. Plus fort, il existe également des keyloggers sous forme matériel, il s’agit alors d’un petit périphérique à brancher entre le clavier et l’ordinateur qui enregistre tout ce qui est tapé.
Par contre, si vous n’avez pas accès à l’ordinateur de la victime, les choses se compliquent. Là, la solution devient ce que les experts appellent le social engineering. Cette méthode consiste tout simplement à utiliser (et récolter) le maximum d’informations que l’on a sur une personne pour, par exemple, deviner son mot de passe. Et si vous n’arrivez pas à deviner ce mot de passe, il vous faudra encore utiliser un moyen détourné en s’attaquant à l’adresse mail. Là, grâce aux questions de sécurité, il doit être possible de prendre possession de l’adresse mail, puis réinitialiser le mot de passe Facebook qui sera donc envoyé sur cette adresse.
Pour finir, on ne vous le répètera jamais assez, vous ne devez pas utiliser ces méthodes, celles-ci sont illégales et ne sont jamais la bonne solution.
Update: nous avons oublié de mentionner le phishing. Dans ce cas, il suffit d’envoyer un lien par mail à votre victime l’invitant à aller sur une fausse version de Facebook créée par vos soins. Elle tentera alors de se connecter et vous récupérerez son mot de passe.