Publicité
![Facebook corrige discrètement un trou de sécurité massif, des millions potentiellement affectés [News] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook a confirmé les affirmations de Symantec concernant des millions de «jetons d'accès» divulgués. Ces jetons permettent à une application d'accéder aux informations personnelles et d'apporter des modifications aux profils, essentiellement donner à des tiers la «clé de rechange» pour vos informations de profil, photographies, mur et messages.
Il n'est pas confirmé si ces tiers (principalement des annonceurs) étaient au courant de la faille de sécurité, bien que Facebook ait depuis dit à Symantec que la faille avait été corrigée. L'accès accordé via ces clés aurait même pu être utilisé pour exploiter les données personnelles des utilisateurs, avec la preuve que la faille de sécurité pourrait remonter à 2007 lorsque les applications Facebook ont été lancées.
Nishant Doshi, employé de Symantec, a déclaré dans un article de blog:
“Nous estimons qu'en avril 2011, près de 100 000 applications permettaient cette fuite. Nous estimons qu'au fil des années, des centaines de milliers d'applications peuvent avoir par inadvertance divulgué des millions de jetons d'accès à des tiers
.”
Pas tout à fait Sony
Les jetons d'accès sont accordés lorsqu'un utilisateur installe une application et accorde au service l'accès à ses informations de profil. Habituellement, les clés d'accès expirent avec le temps, bien que de nombreuses applications demandent une clé d'accès hors ligne qui ne changera pas jusqu'à ce qu'un utilisateur définisse un nouveau mot de passe.
Bien que Facebook utilise des méthodes d'authentification OAUTH2.0 solides, un certain nombre d'anciens schémas d'authentification sont toujours acceptés et à leur tour utilisés par des milliers d'applications. Ce sont ces applications, qui utilisent des méthodes de sécurité obsolètes qui peuvent avoir par inadvertance divulgué des informations à des tiers.
Nishant explique:
«L'application utilise une redirection côté client pour rediriger l'utilisateur vers la boîte de dialogue de permission d'application familière. Cette fuite indirecte pourrait se produire si l'application utilise une API Facebook héritée et possède les paramètres obsolètes suivants, "return_session = 1" et "session_version = 3", dans le cadre de leur code de redirection. "
![Facebook corrige discrètement un trou de sécurité massif, des millions de personnes potentiellement affectées [News] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Si ces paramètres avaient été utilisés (photo ci-dessus), Facebook retournerait une demande HTTP contenant des jetons d'accès dans l'URL. Dans le cadre du système de parrainage, cette URL est à son tour transmise à des annonceurs tiers, avec un jeton d'accès (illustré ci-dessous).
![Facebook corrige discrètement un trou de sécurité massif, des millions de personnes potentiellement affectées [News] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Les utilisateurs qui craignent que leurs clés d'accès aient été bel et bien divulguées doivent changer leurs mots de passe immédiatement pour réinitialiser automatiquement le jeton.
Il n'y avait aucune nouvelle de la violation sur le blog officiel de Facebook, bien que les méthodes d'authentification des applications révisées aient depuis été posté sur le blog des développeurs, obligeant tous les sites et applications à passer à OAUTH2.0.
Êtes-vous paranoïaque à propos de la sécurité Internet? Donnez votre avis sur l'état actuel de Facebook et de la sécurité en ligne en général dans les commentaires!
Crédit d'image: Symantec
Tim est un écrivain indépendant qui vit à Melbourne, en Australie. Vous pouvez le suivre sur Twitter.
