Peter Holmes
0 
3396
136
Facebook a confirmé les déclarations de Symantec concernant des millions de fuites “jetons d'accès”. Ces jetons permettent à une application d’accéder aux informations personnelles et d’apporter des modifications aux profils, donnant ainsi essentiellement à des tiers les informations nécessaires. “clé de rechange” à votre information de profil, photos, mur et messages.
Il n'est pas confirmé si ces tiers (principalement des annonceurs) étaient au courant de la faille de sécurité, bien que Facebook ait depuis indiqué à Symantec que la faille avait été corrigée. L'accès accordé via ces clés aurait même pu être utilisé pour extraire les données personnelles des utilisateurs, avec des preuves que la faille de sécurité pourrait remonter à 2007 lorsque les applications Facebook ont été lancées..
Un employé de Symantec, Nishant Doshi, a déclaré dans un article de blog:
“Nous estimons qu’en avril 2011, près de 100 000 applications permettaient cette fuite. Nous estimons qu'au fil des ans, des centaines de milliers d'applications ont peut-être par inadvertance divulgué des millions de jetons d'accès à des tiers.”
Pas tout à fait Sony
Les jetons d'accès sont accordés lorsqu'un utilisateur installe une application et accorde au service l'accès aux informations de son profil. Généralement, les clés d'accès expirent dans le temps, bien que de nombreuses applications demandent une clé d'accès hors connexion qui ne changera pas tant qu'un utilisateur n'aura pas défini un nouveau mot de passe..
Malgré le fait que Facebook utilise des méthodes d'authentification solides OAUTH2.0, un certain nombre de schémas d'authentification plus anciens sont toujours acceptés et utilisés par des milliers d'applications. Ce sont ces applications, utilisant des méthodes de sécurité obsolètes, qui ont pu par inadvertance divulguer des informations à des tiers.
Nishant explique:
“L'application utilise une redirection côté client pour rediriger l'utilisateur vers la boîte de dialogue d'autorisation d'application familière. Cette fuite indirecte peut se produire si l'application utilise une API Facebook héritée et possède les paramètres obsolètes suivants, “return_session = 1” et “session_version = 3 ", dans le cadre de leur code de redirection.”
Si ces paramètres ont été utilisés (voir la photo ci-dessus), Facebook renverrait une requête HTTP contenant des jetons d'accès dans l'URL. Dans le cadre du schéma de référencement, cette URL est à son tour transmise à des annonceurs tiers, avec le jeton d'accès (photo ci-dessous)..
Les utilisateurs qui craignent que leurs clés d'accès n'aient été divulguées doivent changer immédiatement leurs mots de passe pour réinitialiser automatiquement le jeton..
Il n'y avait aucune nouvelle de la violation sur le blog officiel de Facebook, bien que des méthodes d'authentification d'application révisées aient depuis été publiées sur le blog des développeurs, obligeant tous les sites et applications à passer à OAUTH2.0..
Êtes-vous paranoïaque à propos de la sécurité Internet? Exprimez votre opinion sur l'état actuel de Facebook et de la sécurité en ligne dans les commentaires.!
Crédit d'image: Symantec