Après avoir révélé, la semaine dernière, le vol d’au moins 50 millions de jetons d’authentification, Facebook annonce enfin une bonne nouvelle : aucune application tierce utilisant le service d’authentification Facebook Login ne serait impactée par cette histoire. « Nous avons maintenant analysé nos logs pour toutes les applications tierces qui étaient installées ou connectées durant l’attaque que nous avons découverte la semaine dernière. Jusqu’à présent, l’enquête n’a permis de trouver aucun indice montrant que les attaquants auraient accédé une application au travers de Facebook Login », explique Guy Rosen, directeur produits chez Facebook, dans une note de blog.
Les jetons d’authentification, véritables passe-partout
Dans le monde du web, un jeton d’authentification est une chaîne de caractères qui est générée lorsqu’un utilisateur se connecte à un service. Il est généralement stocké dans un cookie et permet à l’utilisateur de naviguer à travers les pages dynamiques qui lui sont réservées sans qu’il ait besoin d’entrer à chaque fois son mot de passe. Dès que l’utilisateur arrive sur une nouvelle page, celle-ci vérifie d’abord la présence d’un tel jeton avant d’afficher le contenu.
Dans le cas de Facebook, les jetons d’authentification sont également utilisés par une myriade de services tiers qui, pour des raisons pratiques, utilisent le service Facebook Login pour assurer la connexion de leurs propres utilisateurs. Un utilisateur déjà connecté à Facebook au travers de son navigateur peut donc directement aller sur le site d’un tel service sans avoir à renseigner de nouveau son mot de passe. Sur les smartphones, c’est pareil. Une application telle que Tinder va utiliser le jeton de l’application Facebook pour authentifier l’utilisateur.
Le risque n’est pas totalement levé
Les jetons collectés par les pirates pouvaient, sans aucune difficulté, être utilisés pour accéder de manière frauduleuse sur ces comptes tiers. Les pirates auraient pu, par exemple, lire des messages sur Tinder, analyser des trajets sur Uber, observer les courses à pieds sur Strava, etc. Compte tenu du nombre de jetons volés, c’est presque un miracle qu’aucune application tierce ne soit pas impactée par ce piratage.
Par ailleurs, le fait que Facebook ait révoqué tous les jetons volés ne signifie pas que les applications tierces sont désormais totalement tirées d’affaire. Tout dépend de la manière dont elles ont implémenté Facebook Login. Certaines applications tierces ne vérifient pas la validité des jetons et pourraient donc, encore aujourd’hui, être victimes d’un jeton volé. Ce manque de contrôle d’accès est visiblement assez répandu car Facebook compte publier prochainement un outil qui permettra aux développeurs d’applications tierces d’identifier et de déconnecter manuellement les utilisateurs impactés. On n’est jamais trop prudent.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
