Facebook : méfiez-vous aussi des failles

Pour ceux qui auraient raté l’info chez l’ami Korben, les gars de chez Wargan, une société spécialisée dans la sécurité informatique, m’ont aussi contacté pour me faire part de leur découverte de failles de sécurité dans Facebook. Les failles à base de CSRF et XSS décrites dans le détail par Wargan semblent aujourd’hui corrigées mais

Pour ceux qui auraient raté l’info chez l’ami Korben, les gars de chez Wargan, une société spécialisée dans la sécurité informatique, m’ont aussi contacté pour me faire part de leur découverte de failles de sécurité dans Facebook.

Les failles à base de CSRF et XSS décrites dans le détail par Wargan semblent aujourd’hui corrigées mais leur potentiel de nuisance – et même de destruction – peut vous coller une bonne trouille rétrospective, notamment dans la capacité qu’elles offraient à un utilisateur malveillant à s’emparer de l’intégralité de vos données privées, ou – pire pour certains – de diffuser publiquement sur votre propre mur et celui des autres vos messages privés. Un peu comme sans le savoir vous donniez les clés de votre boîte aux lettres à un inconnu et qu’il étale toute votre correspondance sur le mur de votre immeuble, et celui de la mairie[1]

Selon John Jean, l’un des responsables de Wargan, « Le virus (ou ver) contamine une personne, vole ses informations personnelles privées, ses photos, le contenu de son wall, de ses messages persos, puis il finit par voler le compte Facebook, de deux méthodes soit par une tentative de phishing avec l’adresse « apps.facebook.com » (celle des applications facebook type quizz, donc de confiance pour l’internaute), soit en modifiant l’adresse email de la personne, et en modifiant le mot de passe. Un utilisateur mal intentionné peut donc ainsi récupérer l’intégralité des comptes et leurs informations. »

Le processus est expliqué dans ces deux vidéos réalisées par Wargan.

Cette révélation appelle plusieurs remarques :

  • nous sommes démunis face à ce genre de faille, qui peut potentiellement générer des attaques de grande envergure. Les navigateurs web – et même les antivirus – ne détectent pas toujours ces brèches de sécurité car il ne s’agit pas de virus à proprement parler mais de problèmes liés à la structure même du web, et des pages, et à leur fonctionnement
  • même les plus grands se font piéger régulièrement – il y a deux semaines c’est Twitter qui trinquait, mais sans conséquence apparente pour ses utilisateurs à part une timeline rapidement devenue illisible – , et pourtant les développeurs de chez Facebook ne sont certainement pas tombés de la dernière balise en matière de bonnes pratiques en développement et en sécurisation web
  • hacker un site c’est mal, mais – même si l’on connait un peu la façon dont le web fonctionne –  à la vision de ces vidéos on ne peut éviter d’éprouver une certaine fascination sur la capacité de certains à imaginer des scénarios d’intrusion. J’ai eu l’occasion récemment de voir un hacker à l’œuvre sur un site… gouvernemental, dans lequel à l’aide d’une injection de code il fabriquait des pages à la volée pleines de bons liens qui pointaient vers ses sites. Rien de méchant (une technique blackhat connue) mais le plus gênant dans cette histoire est le fait que nous avons tenté d’alerter le webmaster du site et que nos différentes requêtes sont restées sans réponse…
  • ce genre de mésaventure doit nous faire réfléchir à deux fois avant de déterminer à qui l’on confie des données sensibles et ce que l’on met sur Facebook, et jusqu’à quel de gré de confidentialité nous décidons d’aller. Personnellement, le débat sur vie privée/publique et confidentialité sur Facebook ne m’a jamais tellement préoccupé car à la base je n’ai aucune confiance dans l’étanchéité de ce site. De fait j’ai toujours agi comme si tout mon compte était potentiellement public et ouvert à tous, y compris la partie privée. Je n’y publie donc aucune info que je ne pourrais assumer publiquement. De fait, si mon compte est piraté et mes données publiés, à part le désagrément que constitue ce genre d’acte, cela ne changerait pas grand chose. Bien sûr, si un petit malin s’amuse à hacker un compte et à usurper l’identité de quelqu’un pour publier des horreurs en son nom, la donne est différente.
  • et pour finir, si l’on veut extrapoler et polémiquer un peu, on peut se demander à quel point les responsables de Facebook considèrent que ce type de faille est critique, dans la mesure où le patron, Mark Zuckerberg, déclare à qui veut l’entendre – relayé par celui de Google – qu’avec les réseaux sociaux, le concept même de vie privée n’existe plus ?

[1] ce qui nous rappelle au passage que nous nous focalisons beaucoup sur la sécurité informatique, pendant que notre boîte aux lettres physique est beaucoup moins sécurisée que notre compte Facebook, alors qu’elle contient aussi très fréquemment des données sensibles et personnelles.


Nos dernières vidéos

12 commentaires

  1. Plein de bons conseils que j’applique déjà, mais je connais tellement de personnes qui n’en font pas de même.
    Le problème est que les plus avertis sont les webmasters et autres adeptes des NT, mais pour les autres, il faut attendre un prochain reportage sur tf1…

  2. Facebook ça s’utilise avec un mail jetable, un faux nom et derrière un proxy ^^
    Je caricature mais ce n’est pas loin.
    A part Diaspora, je n’ai vu aucun réseau social soucieux de notre vie privée…

  3. Pingback: Facebook : méfiez-vous aussi des failles « Blog Photomaniac

  4. « Je n’y publie donc aucune info que je ne pourrais assumer publiquement » -> :-))))

    moi, parfois, je me dis que je m’auto fait certain dossier… http://twitpic.com/2nk6e7 :-))))

    mais t’as raison sur tout. Je me lache un peu plus sur facebook, mais je suis entrain de créer des listes cette fois ci…

  5. Assez impressionnant de voir la manoeuvre en images. Il est effectivement assez intéressant de se demander si ce type d’attaque à grande ampleur pourrait entraîner la fin de facebook ou si finalement la plupart des gens ont déjà aboli la frontière entre vie privée et vie publique.

  6. Sa c’est vrai il traîne même des petits programmes pour définitivement bloquer un profil la personne pourras plus se connecter du tout alors il y’a de quoi ce méfiez avec en plus la reconnaissance facial bientôt pfff cela devient terrifiant !

  7. Je pense que ce genre de failles et potentiellement d’attaques devraient se développer dans le futur. Avec la croissance impressionnante et le nombre d’utilisateurs sur Facebook, les hackers et autres petits malins vont s’en donner à coeur joie !

  8. la sécurité facebook … ok, mais que ce passerait il avec un vers qui prend le contrôle des mes comptes google ? Ils on mes mails, ce que je cherche, non tel, mon numéro de carte visa, ou se trouve mon smart phone, savent ce que je lit ….

  9. Pingback: Facebook Disconnect et Facebook Blocker, deux extension que Facebook va détester

  10. Pingback: Une faille de sécurité XSS dans Google ?

  11. pour information ta faille n’existe plus
    très bonne explication ça ma permit de suivre a l’identique se qui ma permit de suivre a l’identique se que tu a fais

Répondre