Versions du document
11 mai 2011: Publication intitiale
Description / Résumé
Facebook a mis en place en 2007 un système d’authentification pour les applications tierces. Avec l’aide de ce système, l’utilisateur peut autoriser des applications, il en existe des milliers, à accéder à ses données Facebook.
Après l’autorisation de l’utilisateur, l’application tierce reçoit un « access token » qu’elle utilise pour pouvoir accéder les données de l’utilisateur jusqu’à révocation de l’autorisation.
Dans ce système d’authentification une erreur a été découverte, car dans certains cas, ces access token sont intégrés dans l’URL que l’application émet et sont donc visibles et stockés dans les serveurs log des différents fournisseurs d’application. Toutes les personnes qui utilisent ces token peuvent accéder aux comptes et consulter les informations contenues dans le compte concerné de Facebook.
Cette erreur existe apparemment depuis 2007.
Références (autres sites)
Classification
Orange (niveau 3/5)
Systèmes vulnérables
Facebook
Mesures à prendre :
Facebook a corrigé cette erreur. Pour remédier à cette situation, il faut quand-même changer le mot de passe de Facebook, car ceci rend tous les access token existants obsolète.
En général, ne confiez pas trop d’informations privées à Facebook. Tout comme les autres services informatiques, Facebook ne peut pas garantir une sécurité à 100%. Changez de façon régulière vos mots de passe. De plus faites attention à quelle application tierce vous donnez un droit d’accès, elles ne sont pas toutes légitimes et utilisent vos données pour vous profiler respectivement revendent les données à des services de marketing ou même à des criminels.
