Pour ceux qui auraient raté l’info chez l’ami Korben, les gars de chez Wargan, une société spécialisée dans la sécurité informatique, m’ont aussi contacté pour me faire part de leur découverte de failles de sécurité dans Facebook.

Les failles à base de CSRF et XSS décrites dans le détail par Wargan semblent aujourd’hui corrigées mais leur potentiel de nuisance – et même de destruction – peut vous coller une bonne trouille rétrospective, notamment dans la capacité qu’elles offraient à un utilisateur malveillant à s’emparer de l’intégralité de vos données privées, ou – pire pour certains – de diffuser publiquement sur votre propre mur et celui des autres vos messages privés. Un peu comme sans le savoir vous donniez les clés de votre boîte aux lettres à un inconnu et qu’il étale toute votre correspondance sur le mur de votre immeuble, et celui de la mairie[1]

Selon John Jean, l’un des responsables de Wargan, « Le virus (ou ver) contamine une personne, vole ses informations personnelles privées, ses photos, le contenu de son wall, de ses messages persos, puis il finit par voler le compte Facebook, de deux méthodes soit par une tentative de phishing avec l’adresse « apps.facebook.com » (celle des applications facebook type quizz, donc de confiance pour l’internaute), soit en modifiant l’adresse email de la personne, et en modifiant le mot de passe. Un utilisateur mal intentionné peut donc ainsi récupérer l’intégralité des comptes et leurs informations. »

Le processus est expliqué dans ces deux vidéos réalisées par Wargan.

Cette révélation appelle plusieurs remarques :

• nous sommes démunis face à ce genre de faille, qui peut potentiellement générer des attaques de grande envergure. Les navigateurs web – et même les antivirus – ne détectent pas toujours ces brèches de sécurité car il ne s’agit pas de virus à proprement parler mais de problèmes liés à la structure même du web, et des pages, et à leur fonctionnement
• même les plus grands se font piéger régulièrement – il y a deux semaines c’est Twitter qui trinquait, mais sans conséquence apparente pour ses utilisateurs à part une timeline rapidement devenue illisible – , et pourtant les développeurs de chez Facebook ne sont certainement pas tombés de la dernière balise en matière de bonnes pratiques en développement et en sécurisation web
• hacker un site c’est mal, mais – même si l’on connait un peu la façon dont le web fonctionne -  à la vision de ces vidéos on ne peut éviter d’éprouver une certaine fascination sur la capacité de certains à imaginer des scénarios d’intrusion. J’ai eu l’occasion récemment de voir un hacker à l’œuvre sur un site… gouvernemental, dans lequel à l’aide d’une injection de code il fabriquait des pages à la volée pleines de bons liens qui pointaient vers ses sites. Rien de méchant (une technique blackhat connue) mais le plus gênant dans cette histoire est le fait que nous avons tenté d’alerter le webmaster du site et que nos différentes requêtes sont restées sans réponse…
• ce genre de mésaventure doit nous faire réfléchir à deux fois avant de déterminer à qui l’on confie des données sensibles et ce que l’on met sur Facebook, et jusqu’à quel de gré de confidentialité nous décidons d’aller. Personnellement, le débat sur vie privée/publique et confidentialité sur Facebook ne m’a jamais tellement préoccupé car à la base je n’ai aucune confiance dans l’étanchéité de ce site. De fait j’ai toujours agi comme si tout mon compte était potentiellement public et ouvert à tous, y compris la partie privée. Je n’y publie donc aucune info que je ne pourrais assumer publiquement. De fait, si mon compte est piraté et mes données publiés, à part le désagrément que constitue ce genre d’acte, cela ne changerait pas grand chose. Bien sûr, si un petit malin s’amuse à hacker un compte et à usurper l’identité de quelqu’un pour publier des horreurs en son nom, la donne est différente.
• et pour finir, si l’on veut extrapoler et polémiquer un peu, on peut se demander à quel point les responsables de Facebook considèrent que ce type de faille est critique, dans la mesure où le patron, Mark Zuckerberg, déclare à qui veut l’entendre – relayé par celui de Google – qu’avec les réseaux sociaux, le concept même de vie privée n’existe plus ?

[1] ce qui nous rappelle au passage que nous nous focalisons beaucoup sur la sécurité informatique, pendant que notre boîte aux lettres physique est beaucoup moins sécurisée que notre compte Facebook, alors qu’elle contient aussi très fréquemment des données sensibles et personnelles.

Articles sur le même sujet :

Article original écrit par Eric et publié sur Presse-Citron, le 08/10/2010. | Lien direct vers cet article | © Presse-citron.net - 2010
NOUVEAU : Trouvez gratuitement un développeur / graphiste / référenceur freelance avec Codeur.com

Authors: Eric

pour en savoir plus...