Il est assez courant, voire pratique, pour les internautes de se connecter ou de s’inscrire à une plateforme tierce avec leur compte Facebook.
Mais, après avoir lu cet article, ils pourraient réfléchir à deux fois avant de le faire. Et pour cause.
Egor Homakov, un ingénieur en sécurité informatique, vient de découvrir une faille de sécurité très critique qui pourrait permettre à des pirates d’accéder aux comptes Facebook à partir de sites tiers proposant la connexion à Facebook (bouton "Se connecter") avant d’utiliser leurs services.
En fait, comme le précise le site Thehackernews.com, la faille en question ne donne pas un accès direct à votre mot de passe actuel. Mais, il va faciliter l’accès à votre compte en utilisant une application Facebook tierce telle que Bit.ly, Mashable, Vimeo, About.me, Stumbleupon, et beaucoup d’autres…
Exploitation de la faille de protection de 3 CSRFs
Egor Homakov, qui travaille pour la société Sakurity, a déjà prévenu Facebook de l’existence de cette vulnérabilité depuis au moins un an. Mais, selon lui, Facebook ne se serait pas encore décidé à la corriger. Ce qui pourrait à l’avenir provoquer une incompatibilité de Facebook avec de très nombreux sites web sur le Net.
La faille de sécurité critique révélée par Homakov profite du manque de protection du CSRF (Cross-Site Request Forgery) pour trois différents process :
- Se connecter avec Facebook.
- Se déconnecter de Facebook.
- Connexion à partir d’un compte tiers.
Selon Homakov, les deux premières failles citées ci-dessus peuvent être corrigées par Facebook mais il ne l’a pas encore fait.
Par contre, la troisième faille devra être corrigée par les propriétaires de sites ou de plateformes autorisant la connexion à Facebook à l'aide du bouton "Se Connecter" pour accéder à un espace privé sur leurs sites.
Pour aller plus loin, Homakov a révélé un outil (que je ne cite pas volontairement) qui permettrait à tout pirate de se connecter à un compte Facebook en profitant de ces failles. Et ce, en générant à l’aide de cet outil des URL qui pourraient être utilisées pour pirater les comptes à partir de sites tiers ayant intégré le bouton “Se Connecter” de Facebook.
Comment se protéger ?
En plus de bien paramétrer votre compte Facebook afin de le protéger, Homakov livre un conseil que tout utilisateur devrait en principe suivre :
Ne cliquez jamais sur des liens suspects dans vos messages email ou dans vos comptes sociaux. De préférence, même si c’est une notification qui vous semble officielle, allez dans votre réseau social pour retrouver vos messages et y répondre.
Facebook déclare être au courant de ces failles de sécurité depuis un certain temps et renvoie les utilisateurs de son bouton “Se connecter” vers sa page des meilleures pratiques et recommande l’authentification avec OAuth Login pour utiliser cette fonctionnalité de connexion de Facebook.
