Facebook corrige tranquillement un trou de sécurité énorme, des millions potentiellement affectés [Nouvelles]
Facebook a confirmé les déclarations de Symantec concernant des millions de fuites “jetons d'accès”. Ces jetons permettent à une application d’accéder à des informations personnelles et d’apporter des modifications aux profils, donnant ainsi essentiellement “clé de rechange” à votre information de profil, photos, mur et messages.
Il n’est pas confirmé si ces tiers (principalement des annonceurs) étaient au courant du trou de sécurité, bien que Facebook ait depuis indiqué à Symantec que la faille avait été corrigée. L'accès accordé via ces clés aurait même pu être utilisé pour extraire les données personnelles des utilisateurs, avec des preuves que la faille de sécurité pourrait remonter à 2007 lorsque les applications Facebook ont été lancées..
Un employé de Symantec, Nishant Doshi, a déclaré dans un article de blog:
“Nous estimons qu’en avril 2011, près de 100 000 applications permettaient cette fuite. Nous estimons qu'au fil des ans, des centaines de milliers d'applications ont peut-être par inadvertance divulgué des millions de jetons d'accès à des tiers.”
Pas tout à fait Sony
Les jetons d'accès sont accordés lorsqu'un utilisateur installe une application et accorde au service l'accès aux informations de son profil. Généralement, les clés d'accès expirent dans le temps, bien que de nombreuses applications demandent une clé d'accès hors connexion qui ne changera pas tant qu'un utilisateur n'aura pas défini un nouveau mot de passe..
Bien que Facebook utilise des méthodes d'authentification solides OAUTH 2.0, un certain nombre de schémas d'authentification plus anciens sont toujours acceptés et utilisés à leur tour par des milliers d'applications. Ce sont ces applications, qui utilisent des méthodes de sécurité obsolètes et qui ont pu par inadvertance divulguer des informations à des tiers.
Nishant explique:
“L'application utilise une redirection côté client pour rediriger l'utilisateur vers la boîte de dialogue d'autorisation d'application familière. Cette fuite indirecte peut se produire si l'application utilise une API Facebook existante et possède les paramètres obsolètes suivants, “return_session = 1” et “session_version = 3 ", dans le cadre de leur code de redirection.”
Si ces paramètres ont été utilisés (voir la photo ci-dessus), Facebook renverrait une requête HTTP contenant des jetons d'accès dans l'URL. Dans le cadre du schéma de référencement, cette URL est à son tour transmise à des annonceurs tiers, avec le jeton d'accès (photo ci-dessous)..
Les utilisateurs qui craignent que leurs clés d'accès aient été divulguées doivent changer immédiatement leurs mots de passe pour réinitialiser automatiquement le jeton..
Il n'y avait aucune nouvelle de la violation sur le blog officiel de Facebook, bien que des méthodes d'authentification d'application révisées soient depuis affichées sur le blog des développeurs, obligeant tous les sites et applications à passer à OAUTH2.0.
Êtes-vous paranoïaque à propos de la sécurité Internet? Exprimez votre opinion sur l'état actuel de Facebook et de la sécurité en ligne dans les commentaires.!
Crédit d'image: Symantec
En savoir plus sur: Facebook.