Après le scandale du quiz de Cambridge Analytica, qui a aspiré des données de dizaines de millions de membres en 2014, les problèmes ne sont pas terminés pour Facebook. Le tour de vis donné en début d'année n'empêche pas les mauvaises pratiques techniques.
Le chercheur en sécurité Inti De Ceukelaire révèle une vulnérabilité dans un quiz de Nametests.com, qui revendique 120 millions d'utilisateurs mensuels.
Via ses quiz, NameTests envoyait des données des internautes sur son site. Une pratique habituellement interdite par les navigateurs, sauf dans le cas de scripts JavaScript. Or, si l'entreprise peut transmettre ces données de Facebook vers son site tiers, d'autres sites pourrait les aspirer de la même manière.
Le chercheur a vérifié son hypothèse en créant un site demandant des informations à NameTests sur le visiteur. Ces données étaient bien transmises, y compris un jeton d'accès pouvant ouvrir la voie aux publications, photos et amis de l'utilisateur sur deux mois. Une démonstration en vidéo est proposée.
Inti De Ceukelaire n'a pas trouvé ce problème par hasard. Attiré par le nouveau programme de recherche de bug (bug bounty) de Facebook, il a simplement passé au crible les applications de ses amis. Il a reçu 8 000 dollars en récompense, deux mois après l'avertissement initial.
Commentaires (10)
#1
Ce feuilleton
" />
#2
Tout va bien, nous avons fait une erreur mais cela ne se reproduira pas nous sommes maintenant irréprochables*
*message soumis à conditions, toute nouvelle révélation ne remet pas en cause notre bonne foi, photo non contractuelle.
#3
Ils peuvent planifier en crontab le script “SssssssssssscuuuuuuseMePrincess.sh” à force.
Il devient urgent de torpiller cette entreprise, son incompétence est limite criminelle au regard de ce qu’elle trimbale comme quantité de données personnelles..
#4
J’ai du mal à comprendre ou est la faille chez Facebook ici.
On est dans le cas d’une autorisation OAuth, l’utilisateur accorde la permission a NameTests d’accéder aux resources de l’utilisateur, c’est la faute à NameTests si ils font n’importe quoi avec les données (et éventuellement à l’utilisateur d’accepter n’importe quel scope).
De plus, NameTests ne devrait jamais autoriser des sources autres que celles bien définies à interroger son endpoint, il existe un protocole qui s’appelle CORS (Cross-Origin Resource Sharing) qui existe et qui n’est pas la pour décorer. Il est sensé limiter quel domaine à le droit d’appeler cet endpoint. Ainsi un site malveillant qui aurait un js qui appelle cet endpoint pour aspirer les données devrait se voir refuser la requête par n’importe quel navigateur un peu récent.
Mais bon, c’est toujours plus facile de taper sur FB plutôt que sur les “startups”/webagencies en mousse qui font des trucs putaclick créés par des pseudos stagiaires incompétents attirés par l’appat du gain.
#5
Si ta voiture voit ses injecteurs avoir un programme défectueux et que tu crame une culasse. Tu attaque qui ? Bosch qui conçoit l’injecteur et la carte de programmation ? Ou la marque de ta voiture ?
Ici c’est pareil. Facebook est responsable de toutes les applis qui accèdent aux données de ses utilisateurs, c’est à lui de mettre des critères de sécurités, à lui de contrôler le respect de ses règles.
Dans l’industrie c’est l’industriel de rang 0 qui imposes ses règles, process, logiciels aux sous traitants de rang 1,2,3,…. Il fait des audits réguliers pour vérifier le respect et la “labellisation” de ses sous traitants.
Donc oui on tape sur Facebook car c’est la faute de Facebook, on parle pas ici d’un contenu (dont facebook n’est pas responsable” mais de l’utilisation d’une application validée par FB et disponible pour les utilisateurs.
#6
Non, désolé l’analogie ne fonctionne pas. Tout le système OAuth se base sur le consentement explicite de l’utilisateur qui décide si l’éditeur de l’application a le droit d’accéder aux resources. C’est un système de procuration et délégation.
Personellement, je ne donne pas de procurations sur mon compte bancaire à des personnes en qui je n’ai pas confiance. Je croise un gars dans la rue qui me le demande, je lui refuse. Et bien sur Facebook, c’est pareil, les seules applications que j’autorise sont celles d’éditeurs en lesquels je fais confiance (ou bien je révoque immédiatement après l’utilisation) et uniquement avec les scopes qui me semblent appropriés.
Ici, ce serait se plaindre que ta banque a laissé quelqu’un à qui tu as fourni une procuration sur ton compte, vider tes comptes alors que tu lui avais octroyé pour qu’il s’achète une baguette. (Même si en vrai c’est un peu plus compliqué car FB impose des règles sur l’utilisation des données)
#7
NameTest n’est pas sous-traitant de Facebook, il me semble… Je pense que c’est plutôt NameTest le client de Facebook.
#8
#9
#10