Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Des quiz Facebook auraient exposé les données de 120 millions d’internautes

Des quiz Facebook auraient exposé les données de 120 millions d'internautes

Le 29 juin 2018 à 10h41

Après le scandale du quiz de Cambridge Analytica, qui a aspiré des données de dizaines de millions de membres en 2014, les problèmes ne sont pas terminés pour Facebook. Le tour de vis donné en début d'année n'empêche pas les mauvaises pratiques techniques.

Le chercheur en sécurité Inti De Ceukelaire révèle une vulnérabilité dans un quiz de Nametests.com, qui revendique 120 millions d'utilisateurs mensuels.

Via ses quiz, NameTests envoyait des données des internautes sur son site. Une pratique habituellement interdite par les navigateurs, sauf dans le cas de scripts JavaScript. Or, si l'entreprise peut transmettre ces données de Facebook vers son site tiers, d'autres sites pourrait les aspirer de la même manière.

Le chercheur a vérifié son hypothèse en créant un site demandant des informations à NameTests sur le visiteur. Ces données étaient bien transmises, y compris un jeton d'accès pouvant ouvrir la voie aux publications, photos et amis de l'utilisateur sur deux mois. Une démonstration en vidéo est proposée.

Inti De Ceukelaire n'a pas trouvé ce problème par hasard. Attiré par le nouveau programme de recherche de bug (bug bounty) de Facebook, il a simplement passé au crible les applications de ses amis. Il a reçu 8 000 dollars en récompense, deux mois après l'avertissement initial.

Le 29 juin 2018 à 10h41

Commentaires (10)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ce feuilleton <img data-src=" />

votre avatar

Tout va bien, nous avons fait une erreur mais cela ne se reproduira pas nous sommes maintenant irréprochables*


*message soumis à conditions, toute nouvelle révélation ne remet pas en cause notre bonne foi, photo non contractuelle.

votre avatar

Ils peuvent planifier en crontab le script “SssssssssssscuuuuuuseMePrincess.sh” à force.



Il devient urgent de torpiller cette entreprise, son incompétence est limite criminelle au regard de ce qu’elle trimbale comme quantité de données personnelles..

votre avatar

J’ai du mal à comprendre ou est la faille chez Facebook ici.

On est dans le cas d’une autorisation OAuth, l’utilisateur accorde la permission a NameTests d’accéder aux resources de l’utilisateur, c’est la faute à NameTests si ils font n’importe quoi avec les données (et éventuellement à l’utilisateur d’accepter n’importe quel scope).

De plus, NameTests ne devrait jamais autoriser des sources autres que celles bien définies à interroger son endpoint, il existe un protocole qui s’appelle CORS (Cross-Origin Resource Sharing) qui existe et qui n’est pas la pour décorer. Il est sensé limiter quel domaine à le droit d’appeler cet endpoint. Ainsi un site malveillant qui aurait un js qui appelle cet endpoint pour aspirer les données devrait se voir refuser la requête par n’importe quel navigateur un peu récent.

Mais bon, c’est toujours plus facile de taper sur FB plutôt que sur les “startups”/webagencies en mousse qui font des trucs putaclick créés par des pseudos stagiaires incompétents attirés par l’appat du gain.

votre avatar

Si ta voiture voit ses injecteurs avoir un programme défectueux et que tu crame une culasse. Tu attaque qui ? Bosch qui conçoit l’injecteur et la carte de programmation ? Ou la marque de ta voiture ?



Ici c’est pareil. Facebook est responsable de toutes les applis qui accèdent aux données de ses utilisateurs, c’est à lui de mettre des critères de sécurités, à lui de contrôler le respect de ses règles.



Dans l’industrie c’est l’industriel de rang 0 qui imposes ses règles, process, logiciels aux sous traitants de rang 1,2,3,…. Il fait des audits réguliers pour vérifier le respect et la “labellisation” de ses sous traitants.



Donc oui on tape sur Facebook car c’est la faute de Facebook, on parle pas ici d’un contenu (dont facebook n’est pas responsable” mais de l’utilisation d’une application validée par FB et disponible pour les utilisateurs.

votre avatar

Non, désolé l’analogie ne fonctionne pas. Tout le système OAuth se base sur le consentement explicite de l’utilisateur qui décide si l’éditeur de l’application a le droit d’accéder aux resources. C’est un système de procuration et délégation.

Personellement, je ne donne pas de procurations sur mon compte bancaire à des personnes en qui je n’ai pas confiance. Je croise un gars dans la rue qui me le demande, je lui refuse. Et bien sur Facebook, c’est pareil, les seules applications que j’autorise sont celles d’éditeurs en lesquels je fais confiance (ou bien je révoque immédiatement après l’utilisation) et uniquement avec les scopes qui me semblent appropriés.

Ici, ce serait se plaindre que ta banque a laissé quelqu’un à qui tu as fourni une procuration sur ton compte, vider tes comptes alors que tu lui avais octroyé pour qu’il s’achète une baguette. (Même si en vrai c’est un peu plus compliqué car FB impose des règles sur l’utilisation des données)

votre avatar

NameTest n’est pas sous-traitant de Facebook, il me semble… Je pense que c’est plutôt NameTest le client de Facebook.

votre avatar







maverick78 a écrit :



Non, désolé l’analogie ne fonctionne pas. Tout le système OAuth se base sur le consentement explicite de l’utilisateur qui décide si l’éditeur de l’application a le droit d’accéder aux resources. C’est un système de procuration et délégation.







Tu pense sérieusement que plus de 0.2% des utilisateurs le savent ? C’est bel et bien à dispo dans FB les gens cliquent sans savoir, c’est un manque d’info de FB. En industrie on conçoit nos produit pour pallier à la connerie humaine. En informatique ça devrait être la règle sauf qu’ils font leur business sur cette connerie.







alex.d. a écrit :



NameTest n’est pas sous-traitant de Facebook, il me semble… Je pense que c’est plutôt NameTest le client de Facebook.







C’est pas le sujet je parle du fait que Facebook permet à cette boite d’exister sur sa plateforme (avec ou sans l’autorisation de la personne c’est pas la question) si il permet à la boite d’exister soit il informe CLAIREMENT l’utilisateur des risques soit il ne le fait pas et il sécurise.


votre avatar







secouss a écrit :



soit il informe CLAIREMENT l’utilisateur des risques





Et c’est ce qui est fait dans l’écran de consent OAuth avec un message du genre :





L’application Malhonete Inc. de la société Fraudeurs & Co. vous demande la permission d’accéder à votre numéro de sécurité sociale et à vos comptes bancaires. Ils pourront retirer de l’argent à votre place.



|Continuer| |Annuler|



votre avatar







secouss a écrit :



C’est pas le sujet je parle du fait que Facebook permet à cette boite d’exister sur sa plateforme (avec ou sans l’autorisation de la personne c’est pas la question) si il permet à la boite d’exister soit il informe CLAIREMENT l’utilisateur des risques soit il ne le fait pas et il sécurise.





Bah si c’est le sujet. Si c’était un sous-traitant, la chaîne de responsabilité serait claire. Mais ça n’est pas le cas.

On est plutôt dans le cas où Facebook joue le rôle d’hébergeur ou de médium de diffusion pour NameTest. L’hébergeur est-il responsable du contenu ? Non. Le statut de l’hébergeur est assez clair là-dessus.

&nbsp;


Des quiz Facebook auraient exposé les données de 120 millions d’internautes

Fermer