lundi 19 janvier 2009

Comment accéder à un compte Deezer

Les temps changent.


A une époque, quand j'invitais des gens à la maison, ils venaient avec leur tour de CD. Puis leur lecteur MP3 (iPod en tête). Maintenant ils s'installent sur mon PC et utilisent leur compte Deezer pour nous infliger leurs playlists.

Je suis également un peu paranoïaque. Alors je configure mon Firefox pour nettoyer tous les cookies à la fermeture du navigateur. Quelle surprise, donc, que de retrouver la session d'un autre ouverte lorsque je relance le navigateur !

L'explication est simple : Deezer est une application riche, utilisant massivement Flash. Et en particulier l'espace de stockage persistant offert par cette technologie.

Si vous utilisez Firefox, le fichier se trouve dans le répertoire:
%AppData%\Macromedia\Flash Player\#SharedObjects\\www.deezer.com\deezer.sol

Il s'agit d'un format binaire, mais deux chaines de caractères sautent aux yeux: l'adresse mel et un condensat MD5 (en format texte hexadécimal) correspondant au mot de passe.

Bien sûr il est envisageable d'inverser le condensat, mais le plus reste de copier le fichier".sol" directement pour rentrer dans la session de l'utilisateur ... et pouvoir enfin lui faire découvrir de la "bonne" musique :)

Mes conclusions quant à cette affaire:
  1. Comme toujours, la mise en oeuvre des algorithmes cryptographiques est essentielle. Inutile d'utiliser MD5 si c'est pour authentifier l'utilisateur uniquement avec son hash. Cela fait partie des thèmes que j'aborde dans ma soumission au SSTIC :)
  2. Ne jamais utiliser un PC qui n'est pas le sien. Non seulement il est impossible de faire confiance à un PC pris au hasard de nos jours, mais de plus il existe une quantité phénoménale de traces résiduelles, comme le démontrent les développements du forensics offensif (offensics).
  3. A chaque fois qu'une nouvelle option de sécurité et/ou de confidentialité est proposée par le navigateur, les développeurs du Web 2.0 (ou les concepteurs des normes associées) inventent une méthode de contournement pour rendre l'expérience utilisateur plus riche. Ca promet ...

14 commentaires:

Cédric Pernet a dit…

Le plus simple, comme tu le dis Nico, est bien de faire une copie du fichier concerné pour usurper une identité deezer.
Le pétage du hash MD5 reste cependant très intéressant, dans le sens où (supposition :-p) de nombreux utilisateurs doivent utiliser le même mot de passe pour le compte de messagerie (et autres...) associé.

h a dit…

Bien sûr il est envisageable d'inverser le condensat

Il est largement plus simple de demander à google.
Par exemple, quel mot de passe se cache derrière:
cd13b6a6af66fb774faa589a9d18f906 ?
Un coup de google, et hop.

GnunuX a dit…

Si ca peut aider quelqu'un, j'ai fait un script pour lire et modifier les fichiers .sol de macromedia pour un autre projet.

Il existe d'autres projets du même type, je n'en avais pas trouvé avant de le faire par moi même.

http://gnunux.info/projets/parasol/

newsoft a dit…

@cédric: good guess :)

@h: d'expérience Google ne remplace pas totalement une bonne Rainbow Table, malgré https://secure.sensepost.com/

newsoft a dit…

@GnunuX: je garde ton logiciel sous le coude, ça peut toujours servir ... Merci !

Anonyme a dit…

Très intéressant, merci!

x-tense a dit…

C'est bien le problème de tous les sites flash qui utilisent les SharedObjects pour stocker des informations confidentielles. Malheureusement ceux-ci ne sont toujours pas effacés lors l'utilisation de la fonctionnalité de suppression des cookies offerte par les navigateurs :(

on peut trouver quelques infos ici:
- http://www.rahimblakblog.fr/2008/07/29/shared-objects-swf-et-forensics/
- http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-034/ (paragraphe 3)

Sinon perso pour reverse le md5 j'utilise les sites:
- http://md5.rednoize.com/
- http://www.md5decrypter.co.uk/

je ne connaissais pas secure.sensepost.com, ca à l'air intéressant mais je ne vois pas de système afin de rechercher un hash :(

newsoft a dit…

@x-tense: merci pour les liens.

Le principe de SensePost, c'est que leurs pages sont bien indexées dans Google ... pas besoin de faire un "wget --mirror" sur leur site :)

Vincent a dit…

@x-tense:
Ou alors une license elcomsoft et une dizaine de PC avec des cartes graphiques.

newsoft a dit…

Note: le plugin Objection pour Firefox est vraiment bien !

C'est le Add'n'Edit Cookies du Flash !

Jeremy a dit…

Voici une liste de sites susceptibles de déchiffrer du md5: http://www.korben.info/comment-decoder-un-mot-de-passe-en-md5.html

Si ça peut aider :)

Anonyme a dit…

Bonjour,

Je n'ai pas le répertoire www.deezer.com mais seulement :
C:\Documents and Settings\Tertiath\Application Data\Macromedia\Flash Player\#SharedObjects\5PVGMZBK\files.deezer.com

De plus, les fichiers .sol que ce répertoire contient ne semble pas contenir de pass en md5 ! :( Je les ai pourtant ouvert avec soledit et aussi avec le bloc notes...

Pouvez vous m'aider svp ? :) Merci !

newsoft a dit…

@Tertiath: désolé mais je n'assure pas le support technique :)

Le site Deezer évolue, et va encore évoluer (suite au rapprochement avec Orange).

Et dès qu'un "hack" devient public, je suppose qu'il est rapidement contourné.

Anonyme a dit…

Wow, that's crazy man. They should really try to do something to fix that.