Le piratage de Facebook expose une défaillance sur Internet.

Facebook a été largement accusé du piratage de données historique qui a permis aux pirates informatiques non seulement d’acquérir les comptes d’au moins 50 millions d’utilisateurs, mais aussi d’accéder à des sites Web tiers auxquels les utilisateurs sont connectés avec Facebook. Mais ce qui rend la situation encore pire, c’est que la résolution du problème est, à bien des égards, hors de portée de Facebook.

Selon un récent rapport de l’Université de l’Illinois à Chicago, certains des sites les plus populaires du Web n’ont pas mis en place des mesures de sécurité de base qui auraient limité les retombées du piratage sur Facebook. S’ils avaient pris plus de précautions avec leur implémentation de la fonction d’authentification unique de Facebook qui vous permet d’utiliser votre compte Facebook pour accéder à d’autres sites et services plutôt que de créer un mot de passe unique pour chaque site. Au lieu de cela, les pirates pourraient avoir accédé à tout, des messages privés sur Tinder aux informations de leur passeport sur Expedia, sans laisser de trace. Encore plus stupéfiant : vous pourriez être en danger même si vous n’avez jamais utilisé Facebook pour vous connecter à un site tiers.

La clée maitresse

Dans un article publié en août, l’informaticien Jason Polakis et ses collègues ont analysé les nombreuses façons dont les pirates pouvaient abuser de l’outil d’authentification unique de Facebook. Facebook n’est pas le seul à proposer cette fonctionnalité, Google en a sa propre version, de même que de nombreux autres «fournisseurs d’identités». Mais ce que dit Facebook, Polakis, est le plus répandu.

Il existe des raisons valables pour que les sites et services tiers permettent aux utilisateurs de se connecter à Facebook. Pour les débutants, c’est facile et cela évite aux utilisateurs de créer un autre mot de passe. Et, en théorie du moins, cela rend la connexion plus sécurisée. «La possibilité de mettre en place une infrastructure sécurisée, de gérer les entrées des utilisateurs, de disposer de connexions chiffrées et d’utiliser des mécanismes de sécurité à jour est très difficile», explique M. Polakis. «Ainsi, au lieu de compter sur des milliers de sites Web plus petits, vous comptez sur un site offrant de meilleures pratiques de sécurité.»

Bien sûr, ces avantages s’accompagnent de risques évidents. Si quelqu’un compromet l’authentification unique, celle de Google ou de quiconque sur Facebook, l’impact possible est largement dispersé. Les chercheurs ont tenté de déterminer l’étendue des dommages potentiels d’un compte volé. Quelles données un attaquant pourrait-il alors récupérer ? Comment les utilisateurs sauraient-ils qu’ils ont été piratés ? Et que pourraient faire les victimes ? À l’époque, les résultats étaient déconcertants. Maintenant, ils semblent étrangement prescient.

Vendredi, Facebook a annoncé que les pirates informatiques avaient tiré parti de trois bugs distincts pour collecter 50 millions de code d’accès d’utilisateurs, équivalents aux clés numériques d’un compte Facebook. Avec ces codes, les pirates peuvent prendre le contrôle total des comptes Facebook des utilisateurs, mais grâce à la connexion unique, ils peuvent également accéder à tout autre site Web auquel ces 50 millions d’utilisateurs se connectent avec Facebook. C’est similaire, mais pas identique, au scénario étudié par Polakis et ses collègues. Dans ce cas, les chercheurs ont pu détourner les cookies sur le périphérique d’un utilisateur donné en utilisant une faille désormais corrigée dans l’application Facebook iOS. Mais, selon Polakis, une fois qu’un attaquant a le contrôle du compte Facebook de quelqu’un, son accès à des tiers serait en grande partie identique.

Après que Facebook a découvert le piratage, elle a réinitialisé les codes d’accès pour les 50 millions d’utilisateurs affectés et 40 millions d’autres utilisateurs concernés. « Nous menons toujours l’enquête pour voir si ces attaquants ont eu accès à ces applications tierces », a déclaré la porte-parole de Facebook, Katy Dormer.

Protections limitées

Il existe des moyens que les sociétés tierces peuvent et doivent protéger leurs utilisateurs en cas de piratage de Single Sign-On. Le problème, explique Polakis, c’est que peu d’entre eux le font.

Par exemple, les sites Web qui utilisent Single Sign-On peuvent soit vous connecter automatiquement si vous êtes déjà connecté à Facebook ailleurs dans votre navigateur, soit vous demander de saisir votre mot de passe Facebook à chaque connexion. Plus sûr, car les pirates auraient besoin de plus que le code d’accès de l’utilisateur pour accéder à des sites tiers. Ils ont également besoin de mots de passe.

Mais dans une vérification manuelle de 95 des sites Web et mobiles les plus populaires qui offrent l’authentification unique de Facebook, d’Uber et Airbnb au New York Times et au Washington Post, les chercheurs ont constaté que seulement deux personnes devaient entrer leur mot de passe Facebook à chaque fois qu’ils se sont connectés, Polakis le décrit comme un cas classique d’entreprises choisissant la convivialité plutôt que la sécurité. «Si tous les sites Web avaient activé cette option, dans ce cas, les attaquants ne pourraient pas accéder à des tiers, car ils n’auraient pas votre mot de passe Facebook», indique-t-il.

Les sites tiers peuvent également permettre aux utilisateurs d’afficher l’activité sur leurs comptes. Facebook, par exemple, a recommandé que les utilisateurs considèrent les «sessions actives» comme un moyen de détecter tout accès non autorisé. Mais tous les sites Web ne proposent pas une telle piste numérique. Ils ne fournissent pas non plus tous les moyens d’éliminer les sessions actives. En fait, sur les 95 sites étudiés par Polakis et ses co-auteurs, seuls 10 offrent un moyen de purger les sessions. Cela non seulement rend les pirates difficiles à détecter, mais cela peut rendre presque impossible leur suppression.

Polakis et son équipe ont également analysé un sous-ensemble des sites pour voir ce qui se passe lorsque vous modifiez l’adresse e-mail ou le mot de passe de l’utilisateur sur ces sites tiers. Ils ont constaté que sur 29 sites, 15 autorisent les pirates à modifier l’email d’un compte sans saisir de mot de passe; parmi ceux-ci, six permettent de définir le mot de passe sans entrer l’ancien mot de passe. Les autres requièrent que l’attaquant effectue une réinitialisation formelle du mot de passe. Mais si l’attaquant a déjà réinitialisé l’adresse de messagerie sur ce site, il ne fait que router le courrier électronique de réinitialisation du mot de passe vers lui-même.

Dormer de Facebook dit que la société conseille les développeurs sur les «meilleures pratiques» et «prépare actuellement des recommandations supplémentaires pour tous les développeurs répondant à cet incident et protégeant les utilisateurs».

Mais le résultat le plus stupéfiant du document est peut-être que les gens n’ont pas nécessairement besoin de se connecter à des sites tiers avec Facebook pour être exposés. Disons, par exemple, que vous vous êtes connecté à un site Web avec la même adresse électronique associée à votre compte Facebook. Si un attaquant tente de se connecter à ce même site Web en utilisant l’authentification unique de Facebook, les chercheurs ont découvert que certains sites, y compris l’application de fitness Strava, associeraient les deux comptes.

« Si vous avez un compte Facebook, même si vous ne l’avez jamais utilisé pour vous connecter à un autre site Web, un attaquant pourrait toujours utiliser le jeton Facebook et accéder au compte d’un utilisateur sur des sites Web tiers », explique Polakis.

Surcharge de données

Alors, quelles sont les données que les chercheurs pourraient collecter en pénétrant ces sites tiers ? Dans des expériences contrôlées, Polakis et ses collègues ont pu suivre les déplacements d’une victime en temps réel sur Uber. Dans un cas, ils ont renversé le pilote du dispositif de l’attaquant une fois le voyage terminé. Sur Tinder, ils pouvaient lire les messages privés des utilisateurs, même si les messages apparaissaient comme non lus sur le compte concerné. Sur Expedia, ils ont piraté des numéros de passeport et des informations TSA.

Tout cela, rien qu’une expérience avec un nombre limité de comptes piratés et de sites tiers. Selon M. Polakis, l’attaque de Facebook «est d’une ampleur démesurée» et touche des dizaines de millions d’utilisateurs sur des milliers de sites.

WIRED a contacté plusieurs développeurs pour obtenir des commentaires, y compris Strava, Tinder, Expedia et Airbnb. Uber, pour sa part, a déclaré avoir révoqué les codes pour les comptes qui, selon elle, pourraient être menacés. Selon le porte-parole Melanie Ensign, cela signifie que toute personne qui s’est connectée à Uber avec un nouvel appareil, bien qu’il ne soit pas clair dans quel délai. « Bien que nous n’ayons pas vu de preuves de cet exploit sur notre plateforme, nos équipes et systèmes de sécurité sont constamment à la recherche de problèmes potentiels et avertiront les utilisateurs lorsque nous détectons des activités suspectes sur leur compte », explique Ensign.

Pour l’instant, Facebook cherche à savoir si la réinitialisation du code d’accès est suffisante pour empêcher les attaquants d’accéder à ces tiers à l’avenir. (Polakis dit que sur la base de ses recherches, ce n’est pas le cas.) L’ampleur des dommages déjà causés au cours des 14 mois pendant lesquels la vulnérabilité était active est encore inconnue. Facebook ne partage pas encore ses recommandations spécifiques pour les développeurs, mais Polakis a une suggestion : Single Sign-Off. Cela donnerait aux utilisateurs un moyen de révoquer instantanément l’accès à tous les sites Web connectés à leurs comptes Facebook et d’invalider les sessions d’un attaquant.

Facebook mérite certainement une attention particulière. Il a fait son chemin dans tous les coins d’Internet pendant plus d’une décennie, souvent sans tenir compte des conséquences de son omniprésence. Mais ce qui est également clair, c’est que pour aider les gens à passer plus de temps à parcourir leurs sites et leurs applications, d’autres géants du Web ont également laissé tomber leurs utilisateurs. Et maintenant, tout le monde va payer le prix.

Dans le même sujet : Comment se protéger du piratage de Facebook ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage