mardi 17 mai 2011

Une grande faille de sécurité Facebook




facebook2

(J’ai publié ce billet le 12 Mai sur mon blog, disparu après le grand bug de Blogger,  je le re-publie après sa restauration)

Depuis 2007, pas loin de 100 000 applications Facebook diffusaient des clés d'accès pouvant permettre à des applications tierces de consulter les profils des membres, leurs murs et même de poster des messages sur ces derniers. Une erreur technique signalée par Symantec à facebook qui a reconnu le problème et immédiatement corrigé cette faille.

- Une histoire de jetons (clés) d’accès (access token) :

Dans son article, Symantec précise qu’il s’agit de jetons (ou clés) d’accès (access token) accordées par les utilisateurs aux applications facebook. Chaque jeton est associé à un ensemble de permissions comme : lire votre mur, accéder à votre liste d’amis, poster sur votre mur, ..

Fig1


Lors de l’installation d’une application, cette dernière demande à l’utilisateur sa permission pour pouvoir effectuer certaines actions.

FIG3

Une fois les permissions accordées par l’utilisateur, l’application obtient un jeton d’accès :

FIG2

En utilisant ce jeton, l’application peut maintenant accéder aux informations de l’utilisateur ou effectuer des actions à son nom.
Par défaut, la plupart de ces marques d’accès expirent après une courte durée, cependant, l’application peut toujours demander les jetons d’accès en différé (offline  access tokens) leur permettant d’employer ces jetons jusqu’à ce que vous changiez votre mot de passe et même lorsque vous n’êtes pas connectés !

- Comment s’est produite cette fuite de jetons d’accès ?

Par défaut, facebook utilise maintenant le standard OAUTH2.0 pour l’authentification. Cependant, des centaines d’anciennes applications utilisent encore l’ancienne méthode d’authentification.
La fuite indirecte pourrait se produire si l'application emploie les paramètres désapprouvés suivants : « return_session=1 » et « session_version=3 », en tant qu'élément de leur code de redirection.

FIG4

Si ces paramètres sont employés, Facebook renvoie plus tard une requête HTTP contenant les jetons d'accès dans l'URL à l’application hôte.

Cet URL, y compris le jeton d'accès, peut être passée à de tiers annonceurs en tant qu'élément du champ referrer dans les requêtes HTTP.

C’est le cas, par exemple, lorsque la première page de cette application demandait des ressources d'un URL externe utilisant une étiquette de trame d'un annonceur.


FIG5

- Symantec conseille de changer son mot de passe

Facebook a précisé qu'il n'existait aucune preuve que de données personnelles aient pu être collectées par ce biais. Symantec admet qu'il soit possible que les tierces parties n'aient pas réalisé qu'elles pouvaient exploiter ces jetons (clés).
Mais vu qu'un nombre incalculable de clés d'accès peut toujours servir, Symantec conseille les membres Facebook de changer leur mot de passe afin de les invalider.



Partagez cet article sur vos réseaux sociaux :



Recevez les nouveautés par email

0 commentaires:

Sélectionnez les signes à côté du smiley à insérer dans votre commentaire

:)) ;)) ;;) :X :(( =(( :-o :-* :| :)] :-t
b-( :-L :-/ o_O :D ;) :p :) :( 8-) ^^

Enregistrer un commentaire

Related Posts with Thumbnails