Prรจs de 20 millions dโapplications Facebook sont installรฉes chaque jour et Symantec vient souffler un vent de terreur pour les utilisateurs. Selon la sociรฉtรฉ de sรฉcuritรฉ, depuis le mois dโavril dernier prรจs de 100 000 applications รฉtaient susceptibles de fuites de donnรฉes utilisateurs. Une faille prรฉsente depuis le dรฉbut des applications Facebook en 2007.
ยป Nous avons dรฉcouvert que dans certains cas, les applications iFrame Facebook ont laissรฉ fuiter par inadvertance des tokens dโaccรจs ร des tierces parties comme des annonceurs ou des plateformes analytiques ยซย , indique Symantec qui estime que des millions de tokens sont ainsi concernรฉs.
Les tokens servent de clรฉs dโaccรจs que les applications Facebook utilisent pour diverses actions comme publier un message Facebook sur le mur de lโutilisateur, accรฉder ร son profil. Chaque token ( ou jeton ) est associรฉ ร un ensemble restreint dโautorisations. Gรฉnรฉralement, il expire aprรจs un court laps de temps.
Pendant plusieurs annรฉes, des applications qui sโappuient sur une ancienne forme dโauthentification ont pu laisser fuiter ces clรฉs dโaccรจs, et de donner la possibilitรฉ ร des tiers dโaccรฉder ร des informations utilisateurs ( accรจs ร des profils, photos, messagesโฆ ). Pour Synamtec, de tels tiers nโont toutefois pas forcรฉment eu conscience de la faille.
Ce nโest pas la premiรจre fois que la plateforme dโapplications de Facebook est pointรฉe du doigt pour des problรจmes de sรฉcuritรฉ. Les dรฉveloppeurs doivent nรฉanmoins se conformer ร plusieurs obligations portant notamment sur le partage de donnรฉes utilisateurs. En lโoccurrence, Facebook considรจre quโil nโy a aucune preuve dโune รฉventuelle infraction.
Symantec a prรฉvenu Facebook du problรจme identifiรฉ et le rรฉseau social a rรฉpondu avoir pris les mesures nรฉcessaires. Compte tenu du risque que de nombreux tokens soient encore dans la nature ( dans des logs de serveurs tiers ), Symantec recommande toutefois aux utilisateurs Facebook de changer leur mot de passe pour les invalider.
